活动目录扩展与云应用探索
1. 扩展主题
在活动目录(AD)的管理中,有几个关键的扩展主题需要深入了解,包括账户合作伙伴(Account Partner)、资源合作伙伴(Resource Partner)、联合服务(Federation Service)以及AD轻量级服务(ADLS)。
1.1 账户合作伙伴
账户合作伙伴是托管和管理用户账户的外部组织,可以使用AD或ADLS账户来提供对应用程序的访问。账户合作伙伴组织中的联合服务器会颁发安全令牌,这些令牌包含对用户的断言,例如用户可以执行某些操作。这些令牌会通过联合信任传递给资源合作伙伴。
1.2 资源合作伙伴
资源合作伙伴组织托管一个或多个Web应用程序。资源合作伙伴信任账户合作伙伴对用户进行身份验证,并为用户提供安全令牌。
1.3 联合服务
当在Windows服务器上安装ADFS角色时,会安装联合服务。账户合作伙伴和资源合作伙伴都需要联合服务的实例。
-账户合作伙伴中的联合服务职责:
- 根据Active Directory验证用户凭据。
- 从Active Directory存储的数据中填充组织声明,例如组成员身份。
- 将组织声明映射到联合声明,例如特定组的成员可能被授予应用程序中更多功能的访问权限。
- 将声明打包到数字签名的安全令牌中,以便发送给资源合作伙伴。
-资源合作伙伴中的联合服务职责:
- 验证传入的安全令牌是否来自受信任的组织。
- 将传入的声明映射到资源组
