小编Sim*_*ast的帖子

1. 对于非 Microsoft 人员，ADFS 是什么？

2. 它与 LDAP 之类的东西有何不同？

3. 它是如何工作的？对 ADFS 服务器的典型请求中会包含哪些类型的信息？它是为身份验证和授权而设计的吗？

4. ADFS 服务器通常是否可以从 Internet 访问（而企业 AD 域控制器则不能）？

我试过阅读一些 Technet 文档，但它充满了微软的说法，并没有太大帮助。

维基百科更好（见下文），但也许 ServerFault 社区的一些人可以填补一些空白。

Active Directory 联合服务 (ADFS)是 Microsoft 开发的软件组件，可安装在 Windows Server 操作系统上，为用户提供对跨组织边界的系统和应用程序的单点登录访问。它使用基于声明的访问控制授权模型来维护应用程序安全并实现联合身份。

基于声明的身份验证是根据可信令牌中包含的有关其身份的一组声明来对用户进行身份验证的过程。

在 ADFS 中，通过在两个安全领域之间建立信任，在两个组织之间建立联合身份。一侧（帐户侧）的联合服务器通过 Active Directory 域服务中的标准方法对用户进行身份验证，然后发出一个令牌，其中包含有关用户的一系列声明，包括其身份。在另一端，即资源端，另一台联合服务器验证令牌并为本地服务器发出另一个令牌以接受声明的身份。这允许系统向属于另一个安全领域的用户提供对其资源或服务的受控访问，而无需用户直接向系统进行身份验证，也无需两个系统共享用户身份或密码的数据库。

在实践中，用户通常认为这种方法如下：

1. 用户登录到他们的本地 PC（他们通常在早上开始工作时会这样做）
2. 用户需要在合作伙伴公司的外联网网站上获取信息 - 例如获取定价或产品详细信息
3. 用户导航到合作伙伴公司外联网站点 - 例如：http : //example.com
4. 合作伙伴网站现在不需要输入任何密码 - 而是使用 AD FS 将用户凭据传递到合作伙伴外联网站点
5. 用户现在已登录合作伙伴网站，并可以与“已登录”网站进行交互

来自https://en.wikipedia.org/wiki/Active_Directory_Federation_Services