AD vs ADFS vs LDAP:5歳のように説明してください
Microsoftとは仕事をしていませんが、AD、ADFS、LDAPがどのように連携するかを概念的に理解するのに苦労しています。
IDプロバイダーを必要とするアプリケーションがあるとします。 ADとLDAPはどのように作用しますか?
私のグーグルは、これらの概念の明確な要約を思いついていませんが、存在するリソースがある場合は、それを指摘してください。
ADおよびLDAPには、ユーザー属性が含まれます。名、姓、電話番号。
また、ユーザーのログインとパスワード、およびロール(グループ)も含まれているため、認証と承認に使用できます。
この認証は主にKerberosを使用します。
Microsoftの世界では、ADがメインプレーヤーですが、「単純な」ADが必要な場合は、本質的にLDAPであるADAM/LDSを使用できます。
ADFS(IDP)はこれらの上にあり、フェデレーションレイヤーを提供します。
フェデレーションは、会社Aのユーザーが会社Aの資格情報を使用して会社Bのアプリケーションに対して認証できる概念です。
これを行うには、3つのフェデレーションプロトコルのいずれかを使用します。
- SAML 2.0
- WSフェデレーション
- OpenID Connect
結果は、そのユーザーのADからの属性セットを含むSAMLトークンまたはJWT(OpenID Connect)です。これらの提供する属性のリストは、クレームルールを介してADFSで構成され、トークン内の属性はクレームと呼ばれます。