AD FS是LDS的替代品

Question

我们当前正在运行AD LDS并使用adamsync从多个域创建用户代理对象，以允许从多个域进行身份验证。adamsync过程很混乱，我很好奇AD FS是否是一个合适的替代方案？我们有多个域，并且有使用LDAP进行身份验证的应用程序，并且希望将我们的LDAP应用程序指向AD FS，并让它对来自多个不同AD域的用户进行身份验证。这个是可能的吗？如果是这样的话，是否有关于如何设置的文档？我们希望能够摆脱LDS，并用AD FS取而代之。

我们的LDS在windows 2008服务器上运行，AD FS将在windows 2012 R2上构建

Answer 1

可悲的是，因为它目前的答案是“不”。

ADFS只能针对AD进行身份验证。您只能使用LDS作为授权源。

但是，ADFS (Server2016)将同时支持针对SQL和vNEXT的身份验证。

你提到的“多个域”意味着多个AD？

通常，使用ADFS时，您会删除AD级别的信任，为每个AD域提供一个ADFS，并联合ADFS以将信任移动到联合级别。