ADFS(Active Directory Federation Services)とは何ですか?
そのため、PHPアプリケーションはADFSを使用した認証をサポートする必要があるかもしれないと言われました。 マイクロソフト以外の人にとって、ADFSとは何ですか? LDAPのようなものとどう違うのですか? どのように機能しますか?ADFSサーバーへの一般的な要求には、どのような情報が含まれますか?認証と承認の両方のために設計されていますか? ADFSサーバーは通常、インターネットからアクセスできますか(一方、企業のADドメインコントローラーにはアクセスできません)。 Technetのドキュメントをいくつか読んでみましたが、Microsoftの言葉でいっぱいで、あまり役に立ちません。 Wikipediaの方が優れています(以下を参照)が、ServerFaultコミュニティの一部はギャップを埋めることができます。 Active Directoryフェデレーションサービス(ADFS)は、Microsoftが開発したソフトウェアコンポーネントで、Windows Serverオペレーティングシステムにインストールして、組織の境界を越えて配置されたシステムおよびアプリケーションへのシングルサインオンアクセスをユーザーに提供できます。クレームベースのアクセス制御承認モデルを使用して、アプリケーションのセキュリティを維持し、フェデレーションIDを実装します。 クレームベース認証は、信頼されたトークンに含まれるIDに関するクレームセットに基づいてユーザーを認証するプロセスです。 ADFSでは、2つのセキュリティレルム間の信頼を確立することにより、2つの組織間でIDフェデレーションが確立されます。片側(アカウント側)のフェデレーションサーバーは、Active Directoryドメインサービスの標準的な方法でユーザーを認証し、ユーザーに関する一連の要求(そのIDを含む)を含むトークンを発行します。もう一方のリソース側では、別のフェデレーションサーバーがトークンを検証し、ローカルサーバーに別のトークンを発行して、要求されたIDを受け入れます。これにより、システムは、ユーザーがシステムに直接認証する必要なく、2つのシステムがユーザーIDまたはパスワードのデータベースを共有することなく、別のセキュリティレルムに属するユーザーにリソースまたはサービスへの制御されたアクセスを提供できます。 実際には、このアプローチは通常、ユーザーによって次のように認識されます。 ユーザーはローカルPCにログインします(通常、午前中に作業を開始するときと同じように)。 ユーザーは、パートナー企業のエクストラネットWebサイトで情報を取得する必要があります(たとえば、価格や製品の詳細を取得するため) ユーザーはパートナー企業のエクストラネットサイトに移動します-例:http : //example.com パートナーWebサイトでは、パスワードを入力する必要がなくなりました-代わりに、AD FSを使用してユーザー資格情報がパートナーエクストラネットサイトに渡されます これで、ユーザーはパートナーWebサイトにログインし、「ログイン」したWebサイトと対話できます。 https://en.wikipedia.org/wiki/Active_Directory_Federation_Servicesから