ADFS 在身份验证系统的分类中属于什么位置?
Where does ADFS fall in the classifications of authentication systems?
我们刚刚开始实施 ADFS 身份验证,但我们仍在努力了解如何将其与其他应用程序和系统集成。
据我所知,我们使用的许多应用程序(目前我对 Blackboard authentication 特别感兴趣)主要支持的身份验证系统是 Shibboleth、OAuth、CAS、LDAP 和每个应用程序自己的身份验证含义。
但是,我不确定的是 if(和 where)ADFS 属于这些类别。从概念上讲,它似乎是 "Central Authentication System" (CAS) 的一种,但更类似于 Shibboleth(也是联合身份管理系统).一些主要的身份验证类别是否相互重叠?从文档中,我可以看到:
AD FS provides Web SSO to federated partners outside your organization, which enables their users to have a SSO experience when they access your organization’s Web-based applications.
The Central Authentication Service (CAS) is a single sign-on protocol for the web. Its purpose is to permit a user to access multiple applications while providing their credentials (such as userid and password) only once. It also allows web applications to authenticate users without gaining access to a user's security credentials, such as a password. The name CAS also refers to a software package that implements this protocol
Shibboleth is among the world's most widely deployed federated identity solutions, connecting users to applications both within and between organizations.
我的主要问题是:
- ADFS 是那些主要实现之一(如 CAS)的 type...
- 或它是像 Shibboleth 这样的专有版本,但可以互换使用...
- 或它是否属于其中一个系统的外部类别(因此需要通过手动或自定义流程)?
澄清一下:
- Shibboleth 是身份提供者 (IDP) 又名安全令牌系统 (STS)
- OAuth 是一种身份验证协议
- LDAP 是一个身份存储库
IDP 使用身份验证协议对存储库进行身份验证。
ADFS 也是一个身份提供者 (IDP),又名安全令牌系统 (STS)
我没有看到在这种情况下使用 "CAS" 这个词。
Shibboleth 和 ADFS 执行相同的功能并且(在一般意义上)可以互换。
实际上,它们不是,因为 Shibboleth 仅支持 SAML 2.0 协议,而 ADFS 支持 WS-Fed、SAML 2.0 和 OpenID Connect / OAuth 2.0。
一些 additions/updates 几年后 rbrayb 接受的答案:
- Shibboleth IdP 是 SAML 的参考实现,也支持 CAS 和 OpenID Connect。
- Shibboleth SP 是同一项目的 SAML 服务提供商。
- CAS(中央认证服务)是另一种 web-SSO 协议,类似于 SAML;也是参考实现的名称,同样支持SAML、OIDC等
- OAuth 是一个授权标准。
- SAML、CAS、OpenID、Kerberos 和其他 SSO 协议基于 Trusted third party 的概念。
- LDAP 恰好是一种服务,在给定的组织中,大多数或每个人都已经拥有一个带密码的帐户。作为用于验证的服务器,它本身并没有什么特别之处。它也可以是具有基本身份验证或 SQL 服务器的 telnet 服务器或 Web 服务器;在任何这些情况下,应用程序都必须收集用户名和密码并将它们传递给 back-end 身份验证服务,这与 SSO 协议不同。 (LDAP 碰巧为身份验证提供了一个 vendor-neutral、non-interactively-focused 接口,这是它经常被用于此任务而不是其他任务的部分原因。)
(我最初尝试将其添加为评论,但评论不支持我想要的格式。)
我们刚刚开始实施 ADFS 身份验证,但我们仍在努力了解如何将其与其他应用程序和系统集成。
据我所知,我们使用的许多应用程序(目前我对 Blackboard authentication 特别感兴趣)主要支持的身份验证系统是 Shibboleth、OAuth、CAS、LDAP 和每个应用程序自己的身份验证含义。
但是,我不确定的是 if(和 where)ADFS 属于这些类别。从概念上讲,它似乎是 "Central Authentication System" (CAS) 的一种,但更类似于 Shibboleth(也是联合身份管理系统).一些主要的身份验证类别是否相互重叠?从文档中,我可以看到:
AD FS provides Web SSO to federated partners outside your organization, which enables their users to have a SSO experience when they access your organization’s Web-based applications.
The Central Authentication Service (CAS) is a single sign-on protocol for the web. Its purpose is to permit a user to access multiple applications while providing their credentials (such as userid and password) only once. It also allows web applications to authenticate users without gaining access to a user's security credentials, such as a password. The name CAS also refers to a software package that implements this protocol
Shibboleth is among the world's most widely deployed federated identity solutions, connecting users to applications both within and between organizations.
我的主要问题是:
- ADFS 是那些主要实现之一(如 CAS)的 type...
- 或它是像 Shibboleth 这样的专有版本,但可以互换使用...
- 或它是否属于其中一个系统的外部类别(因此需要通过手动或自定义流程)?
澄清一下:
- Shibboleth 是身份提供者 (IDP) 又名安全令牌系统 (STS)
- OAuth 是一种身份验证协议
- LDAP 是一个身份存储库
IDP 使用身份验证协议对存储库进行身份验证。
ADFS 也是一个身份提供者 (IDP),又名安全令牌系统 (STS)
我没有看到在这种情况下使用 "CAS" 这个词。
Shibboleth 和 ADFS 执行相同的功能并且(在一般意义上)可以互换。
实际上,它们不是,因为 Shibboleth 仅支持 SAML 2.0 协议,而 ADFS 支持 WS-Fed、SAML 2.0 和 OpenID Connect / OAuth 2.0。
一些 additions/updates 几年后 rbrayb 接受的答案:
- Shibboleth IdP 是 SAML 的参考实现,也支持 CAS 和 OpenID Connect。
- Shibboleth SP 是同一项目的 SAML 服务提供商。
- CAS(中央认证服务)是另一种 web-SSO 协议,类似于 SAML;也是参考实现的名称,同样支持SAML、OIDC等
- OAuth 是一个授权标准。
- SAML、CAS、OpenID、Kerberos 和其他 SSO 协议基于 Trusted third party 的概念。
- LDAP 恰好是一种服务,在给定的组织中,大多数或每个人都已经拥有一个带密码的帐户。作为用于验证的服务器,它本身并没有什么特别之处。它也可以是具有基本身份验证或 SQL 服务器的 telnet 服务器或 Web 服务器;在任何这些情况下,应用程序都必须收集用户名和密码并将它们传递给 back-end 身份验证服务,这与 SSO 协议不同。 (LDAP 碰巧为身份验证提供了一个 vendor-neutral、non-interactively-focused 接口,这是它经常被用于此任务而不是其他任务的部分原因。)
(我最初尝试将其添加为评论,但评论不支持我想要的格式。)