ADFS 和 Azure AD 之间的差异
-
我知道 ADFS 是一种 STS(安全令牌服务(,因为它向应用程序颁发令牌,帮助应用程序建立用户身份。在组织级别,我们的组织使用带有 WS 联合身份验证协议的 ADFS 对组织的所有内部应用程序中的用户进行身份验证,并实现 SSO。
-
同样在我们的组织中,我们有 Azure AD 帐户,我使用 Azure AD 注册了我们的自定义应用,每当未经身份验证的用户进入我们的应用时,此人都会重定向到 Azure AD 登录页面,并且必须对自己进行身份验证。身份验证成功后,Azure AD 还会颁发令牌(ID 令牌、访问令牌、刷新令牌(
我的问题是,我是否可以将 Azure AD 也视为一种 STS(安全令牌服务(,就像 ADFS 一样,因为它颁发令牌来建立客户端标识?
ADFS 仅处理身份验证和授权。它不处理用户预配。
从这个意义上说,ADFS 不是标识提供者,它只是一个 STS。
您需要单独的 ADFS(身份验证(和 AD(用户(实例。AAD 将两者结合起来。
顾名思义,ADFS 是位于 AD 之上的联合层。
此外,ADFS 是 R-STS,因为它可以位于联合链的中间。它可以处理上游和下游请求。AAD 不能 - 它始终是终结点。
ADFS具有索赔规则的权力,AAD没有这样的概念。
两者都作为安全的令牌服务工作。
当然,这是两种不同的服务,通常你负责 ADFS 基础结构,而不负责 AAD 基础结构。
如果使用 Azure ADConnect 启用了用户同步,Azure AD 还可以将身份验证联合到 ADFS。在这种情况下,Azure AD 将用户重定向到 ADFS 进行身份验证,并信任 ADFS 提供的答案。从应用的角度来看,用户如何针对 AAD 进行身份验证没有区别。