Quindi mi è stato detto che la nostra applicazione PHP potrebbe dover supportare l'autenticazione tramite ADFS.
Per una persona non Microsoft, che cos'è ADFS?
In cosa differisce da cose come LDAP?
Come funziona? Che tipo di informazioni verrebbero incluse in una richiesta tipica a un server ADFS? È progettato sia per l'autenticazione che per l'autorizzazione?
I server ADFS sono in genere accessibili da Internet (mentre i controller di dominio AD aziendali non lo sarebbero)?
Ho provato a leggere alcuni dei documenti Technet, ma è pieno di Microsoft-speak che non è di grande aiuto.
Wikipedia è migliore (vedi sotto), ma forse alcuni membri della comunità ServerFault possono colmare alcune lacune.
Active Directory Federation Services (ADFS) è un componente software sviluppato da Microsoft che può essere installato su sistemi operativi Windows Server per fornire agli utenti l'accesso Single Sign-On a sistemi e applicazioni situati oltre i confini dell'organizzazione. Utilizza un modello di autorizzazione per il controllo degli accessi basato su attestazioni per mantenere la sicurezza dell'applicazione e implementare l'identità federata.
L'autenticazione basata su attestazioni è il processo di autenticazione di un utente basato su una serie di attestazioni sulla sua identità contenuta in un token attendibile.
In ADFS, la federazione delle identità viene stabilita tra due organizzazioni stabilendo la fiducia tra due regni di sicurezza. Un server federativo su un lato (il lato Account) autentica l'utente attraverso i mezzi standard in Servizi di dominio Active Directory e quindi emette un token contenente una serie di attestazioni sull'utente, inclusa la sua identità. Dall'altro lato, il lato Risorse, un altro server federativo convalida il token ed emette un altro token affinché i server locali accettino l'identità rivendicata. Ciò consente a un sistema di fornire un accesso controllato alle proprie risorse o servizi a un utente che appartiene a un altro ambito di sicurezza senza richiedere all'utente di autenticarsi direttamente al sistema e senza che i due sistemi condividano un database di identità utente o password.
In pratica questo approccio è generalmente percepito dall'utente come segue:
- L'utente accede al proprio PC locale (come farebbe normalmente quando si inizia a lavorare la mattina)
- L'utente deve ottenere informazioni sul sito Web extranet di una società partner, ad esempio per ottenere prezzi o dettagli sul prodotto
- L'utente accede al sito extranet della società partner, ad esempio http://example.com
- Il sito Web del partner ora non richiede l'inserimento di alcuna password; invece, le credenziali dell'utente vengono passate al sito extranet del partner utilizzando ADFS
- L'utente è ora connesso al sito Web del partner e può interagire con il sito Web "connesso"
Da https://en.wikipedia.org/wiki/Active_Directory_Federation_Services