ADFS访问

Ⅰ ADFS身份验证过程

揭开ADFS的身份验证过程神秘面纱

Active Directory Federation Service (ADFS)，如同它的全名所示，是一种强大的身份验证解决方案，它以SAML/单点登录/SSO的别名广为人知。它的核心使命是简化用户体验，让用户在访问众多基于云的应用程序时，只需通过一次登录就能实现无缝授权。简单来说，ADFS就像是一个安全的桥梁，连接了企业的内部网络与外部服务，实现了高效的身份验证流程。

身份验证流程的精准运作

当用户访问外部网站，如合作伙伴公司的http://example.com，寻求信息时，流程开始启动。首先，网站会发起请求，请求一个安全的令牌，此时用户会从ADFS服务器那里获得这个令牌。ADFS服务器负责生成并发布包含用户详细信息的令牌集合，其中包括用户的身份声明。用户随后将这个令牌传递给目标网站，完成身份验证的接力。

ADFS的背后，是一组关键组件在协同工作：Active Directory，作为身份信息的基石，存储并管理用户账户；Federation Server，是身份验证的核心，它处理来自外部的验证请求，以及维护与合作伙伴的信任关系，通过安全令牌服务为用户发放认证令牌；Federation Server Proxy，部署在Extranet上，作为外部访问的中介，确保请求安全地到达Federation Server，避免直接暴露在互联网上，保护网络安全；最后，ADFS Web Server 负责管理和处理安全令牌，以及与身份验证相关的cookie，确保顺畅的用户体验。

标准部署策略

为了保证在本地环境的稳定运行，Microsoft推荐采用标准的ADFS部署架构，通常包括内部网络上的AD FS服务器和DMZ或Extranet网络中的Web应用程序代理服务器。在服务器层面上，采用硬件或软件负载均衡器，它们在每个服务器群前面管理流量，保护服务器免受直接外部攻击。防火墙则部署在负载均衡器前面，为FS和代理服务器提供额外的安全屏障。

举个实例，对于Web应用程序代理，Citrix ADC可能在DMZ中扮演重要角色，以提供更高效的服务。这篇详细的部署教程可以作为参考：Windows Server 2019 ADFS部署步骤详解。

综上，ADFS的身份验证过程是一个精心设计的系统，旨在为用户提供快捷、安全的访问体验，同时确保企业网络的安全性。通过了解其工作原理和标准部署方法，企业能够更好地利用ADFS提升业务流程的效率和用户满意度。