Блог

Главная - Вопросы по программированию - Разница между adfs и Azure AD

Разница между adfs и Azure AD

#azure #azure-active-directory #adfs #ws-federation

#azure #azure-active-directory #adfs #ws-федерация

Вопрос:

Различия между ADFS и Azure AD

  1. Я понимаю, что ADFS — это STS (служба безопасных токенов) в том смысле, что она выдает токены приложениям, которые помогают приложениям устанавливать личность пользователя. На уровне организации наша организация использует ADFS с протоколом WS-Federation для аутентификации пользователей во всех внутренних приложениях организации, а также для реализации единого входа.

  2. Также в нашей организации у нас есть учетная запись Azure AD, и я использовал Azure AD для регистрации наших пользовательских приложений, и всякий раз, когда пользователь, не прошедший проверку подлинности, входит в наше приложение, он перенаправляется на страницу входа в Azure ad и должен пройти проверку подлинности. После успешной аутентификации Azure AD также выдает токен (идентификационный токен, токен доступа, токен обновления)

Мой вопрос в том, могу ли я рассматривать Azure AD также как тип STS (Secure Token Service), как и ADFS, поскольку он выдает токены для установления личности клиента?

Ответ №1:

ADFS обрабатывает только аутентификацию и авторизацию. Он не обрабатывает подготовку пользователя.

В этом смысле ADFS не является поставщиком удостоверений, это просто STS.

Вам нужны отдельные экземпляры ADFS (auth.) и AD (user). AAD сочетает в себе оба.

Как следует из названия, ADFS — это уровень федерации, расположенный поверх AD.

Кроме того, ADFS является R-STS в том смысле, что она может находиться в середине цепочки объединения. Он может обрабатывать восходящие и нисходящие запросы. AAD не может — это всегда конечная точка.

ADFS обладает полномочиями правил утверждений, AAD не имеет такой концепции.

Ответ №2:

Оба работают как служба защищенных токенов.

Конечно, это две разные службы, и обычно вы несете ответственность за инфраструктуру ADFS, в то время как вы не несете ответственности за инфраструктуру AAD.

Azure AD также может использовать федеративную аутентификацию в ADFS, если у вас включена синхронизация пользователей с Azure AD Connect. В этом сценарии Azure AD перенаправляет пользователя в ADFS для аутентификации и доверяет ответу, предоставляемому ADFS. С точки зрения приложений не имеет значения, как пользователь проходит аутентификацию в AAD.

Комментарии:

1. Спасибо, хорошо объяснил. Означает ли это, что если мы используем Azure AD для выдачи токена для аутентификации, мы также можем использовать ADFS в качестве замены для достижения того же?

2. Ну, это зависит. Когда вы используете AAD для аутентификации, вы также можете вызвать, например, MS Graph API от имени пользователя. Вы не можете сделать это с ADFS.

3. Я думаю, что мы также можем вызвать graph API для запроса AAD, правильно ли я понимаю?

4. почему ADFS является поставщиком удостоверений? это не

5. Я могу ошибаться в этой части, я знаю ADFS только на высоком уровне 🙂