ADAM、Active Directory、LDAP、ADFS、身份

Question

ADAM、Active Directory、LDAP、ADFS、Windows Identity、cardspace与哪台服务器(Windows 2003、Windows 2008)使用什么有什么区别/联系？

Answer 1

Active Directory是一个服务器组件，用于管理Windows域和存储相关信息，如用户的详细信息。它提供了LDAP、DNS、CIFS和Kerberos网络协议的实施。它是Windows Server2003和Windows Server2008的一部分，在后一种情况下做了一些修改。

ADAM有点像Active Directory的小兄弟。它只包含LDAP的一个实现。在Windows Server2008中，它被重命名为LDS，即轻量级目录服务。ADAM/LDS也可以安装在非服务器版本的Windows上。

LDAP是一种用于管理目录服务数据的协议。目录服务内的数据以分层的方式存储，即树。该树中的条目可以包含一组属性，每个属性都有一个名称和一个值。它们主要用于存储用户名、密码、电子邮件地址等与用户相关的信息，因为有用于此目的的标准化模式，并且得到了应用程序的广泛支持。

ADFS是一种允许身份联盟内的web应用程序用户进行单点登录的技术。简而言之:假设有两个组织，他们的用户数据存储在active directory中。现在，每个组织都希望允许另一个组织的用户访问其web应用程序，但有一个限制，即用户数据本身既不能被复制，也不能被其他组织完全访问。这就是ADFS可以解决的问题。可能需要一个小时的阅读和研究才能完全理解。

Answer 2

只是为了填补上面的空白：

ADFS就是一个安全令牌服务的例子。可以将STS配置为彼此之间具有信任关系。假设你有一家只有内部用户的公司，他们想要扩展到外部用户。这意味着所有外部用户都必须注册，获得用户名、密码等。也许公司不想存储所有这些东西。他们意识到，他们的大多数外部用户都已经拥有OpenId账户。因此，它们将其ADFS与接受OpenId凭据STS联合(信任)。

当外部用户想要访问公司网站时，系统会通过下拉菜单询问他们是哪种用户。他们选择OpenID。然后，它们被带到OpenId站点，在那里进行身份验证。然后，使用签名令牌将用户重定向回公司ADFS，该令牌表明OpenId已经对用户进行了身份验证。由于存在信任关系，因此ADFS接受身份验证并允许用户访问网站。

公司没有存储任何OpenId凭据。

实际上，您已经外包了身份验证。

ADFS目前在Windows Server2008 R2上运行。

对于Windows Identity (在ADFS上下文中)，我假设您询问的是Windows Identity Foundation (WIF)。这本质上是一组使用VS添加到项目中的.NET类，可以使应用程序“感知索赔”。有一个名为FedUtil的VS工具，它将应用程序映射到STS，并描述将提供的声明。(声明是一个属性，如姓名、道布等)当用户访问应用程序时，WIF将用户重定向到用户登录的映射STS。然后，WIF向应用程序提供一组声明。在此基础上，应用程序可以根据用户声明更改流。例如，只有声明类型为角色且值为编辑者的用户才能更改页面。

WIF还可以充当访问管理器，例如，只有编辑者才能访问此页面。其他用户只是简单地收到一个错误。

在WIF中，应用程序被称为“信赖方”(RP)。

WIF inside VS需要Vista或Windows 7。

由于STS可以彼此联合，因此每个STS可以提供一组声明。

例如，在上面的示例中，OpenId STS可以提供用户名，而公司ADFS可以提供与OpenId无关的信息，例如公司中的角色。

是一种通过数字身份进行身份验证的机制，例如，启用的应用程序可以通过选择您的一张“卡”来要求您登录，其中一张卡可能是您的个人X509证书。然后，应用程序将根据其存储的凭据对此进行检查。

2011年2月，微软宣布他们将不再开发Windows CardSpace产品。