联合身份管理: ADFS与OpenID

Question

我是联邦身份管理的新手。我正在尝试理解身份验证协议和概念之间的区别。

我理解OpenID和OAuth之间的区别/关系。但是，我仍然对ADFS、OpenID、IDaaS和基于声明的身份验证概念之间的区别感到困惑。

我在寻找高层次的解释。

任何帮助都是非常感谢的。

Answer 1

好吧，让我试着解释一下：

• OAuth 2-委派目录连接协议(OIDC) -在OAuth2上构建的允许委派身份验证的协议；此身份验证由第三方实现，而不是我的应用程序。
• Active OAuth联合身份验证(ADFS)不是一种协议，也不是一种框架。是由Microsoft开发的软件，允许Windows网络的单点登录和联合。基于声明的

是

• 和OIDC JWT令牌的基础。这类令牌具有关于主体的断言(实体经过身份验证)，并且通常是经过签名的。

总结：

• OIDC和OAuth 2.0是协议。它们并不规定您的联盟将以何种方式工作。OAuth2发生在授权阶段，OpenID连接发生在身份验证和联合阶段。任何公司都可以使用OpenID提供商公开的公钥来验证ID令牌，从而成为联盟的一部分。
• ADFS是一种允许基于

协议(安全但比开放对象数据中心更重)的联邦的as产品。基于声明的

• 在开放对象数据中心和通用数据交换协议中都被使用。令牌具有颁发者声称关于某个实体的正确信息。如果您依赖由第三方发布的令牌，则您已成为依赖方。

Answer 2

只是为了扩大规模。

当你说“OpenID”时，你是说真的吗?还是说OpenID连接？它们是两种不同的协议，现在很少使用OpenID。

ADFS4.0(Server2016)是唯一一个完全支持OpenID连接/ OAuth (即所有四个配置文件)的ADFS。

只有ADFS 4.0可以使用LDAP v3.0及更高版本进行身份验证。在早期版本中，您必须使用AD。

另外，SAML和WS-Fed通常使用SAML令牌，而不是JWT令牌。

需要指出的是，ADFS也支持WS-Federation。