따라서 PHP 응용 프로그램이 ADFS를 사용한 인증을 지원해야 할 수도 있다고 들었습니다.
Microsoft 이외의 사람에게 ADFS 란 무엇입니까?
LDAP와 다른 점은 무엇입니까?
어떻게 작동합니까? ADFS 서버에 대한 일반적인 요청에는 어떤 종류의 정보가 포함됩니까? 인증 및 권한 부여를 위해 설계 되었습니까?
ADFS 서버는 일반적으로 인터넷에서 액세스 할 수 있습니까 (회사 AD 도메인 컨트롤러는 그렇지 않음)?
Technet 문서 중 일부를 읽으려고했지만 크게 도움이되지 않는 Microsoft 말하기가 가득합니다.
Wikipedia가 더 좋지만 (아래 참조) 아마도 일부 ServerFault 커뮤니티가 일부 차이를 메울 수 있습니다.
ADFS (Active Directory Federation Services) 는 Microsoft가 개발 한 소프트웨어 구성 요소로서 Windows Server 운영 체제에 설치하여 조직 경계에있는 시스템 및 응용 프로그램에 대한 단일 로그온 액세스를 사용자에게 제공합니다. 클레임 기반 액세스 제어 권한 부여 모델을 사용하여 애플리케이션 보안을 유지하고 연합 ID를 구현합니다.
클레임 기반 인증은 신뢰할 수있는 토큰에 포함 된 ID에 대한 클레임 집합을 기반으로 사용자를 인증하는 프로세스입니다.
ADFS에서는 두 보안 영역간에 트러스트를 설정하여 두 조직간에 ID 연합이 설정됩니다. 한쪽의 페더레이션 서버 (계정 쪽)는 Active Directory 도메인 서비스의 표준 수단을 통해 사용자를 인증 한 다음 해당 ID를 포함하여 사용자에 대한 일련의 클레임을 포함하는 토큰을 발급합니다. 다른 쪽의 리소스 쪽에서는 다른 페더레이션 서버가 토큰의 유효성을 검사하고 로컬 서버가 청구 된 ID를 수락하도록 다른 토큰을 발급합니다. 이를 통해 시스템은 사용자가 시스템에 직접 인증하지 않아도되고 두 시스템이 사용자 ID 또는 암호 데이터베이스를 공유하지 않고도 다른 보안 영역에 속하는 사용자에게 자원 또는 서비스에 대한 액세스를 제어 할 수 있습니다.
실제로이 접근 방식은 일반적으로 다음과 같이 사용자가 인식합니다.
- 사용자는 로컬 PC에 로그인합니다 (일반적으로 아침에 작업을 시작할 때와 동일)
- 사용자는 파트너 회사의 엑스트라 넷 웹 사이트에서 정보를 얻어야합니다 (예 : 가격 또는 제품 세부 정보 얻기)
- 사용자는 파트너 회사 엑스트라 넷 사이트 (예 : http://example.com)로 이동합니다.
- 파트너 웹 사이트에는 이제 암호를 입력 할 필요가 없습니다. 대신 사용자 자격 증명이 AD FS를 사용하여 파트너 엑스트라 넷 사이트로 전달됩니다.
- 이제 사용자가 파트너 웹 사이트에 로그인하여 '로그인 한'웹 사이트와 상호 작용할 수 있습니다
에서 https://en.wikipedia.org/wiki/Active_Directory_Federation_Services