Jadi saya sudah diberitahu bahwa aplikasi PHP kami mungkin perlu mendukung otentikasi menggunakan ADFS.
Untuk orang yang bukan Microsoft, apa itu ADFS?
Apa bedanya dengan hal-hal seperti LDAP?
Bagaimana cara kerjanya? Informasi apa yang akan dimasukkan dalam permintaan tipikal ke server ADFS? Apakah ini dirancang untuk otentikasi dan otorisasi?
Apakah server ADFS biasanya dapat diakses dari internet (sedangkan pengontrol domain AD perusahaan tidak akan)?
Saya sudah mencoba membaca beberapa dokumen Technet, tetapi penuh dengan Microsoft-talk yang tidak terlalu membantu.
Wikipedia lebih baik (lihat di bawah), tetapi mungkin beberapa komunitas ServerFault dapat mengisi beberapa celah.
Active Directory Federation Services (ADFS) adalah komponen perangkat lunak yang dikembangkan oleh Microsoft yang dapat diinstal pada sistem operasi Windows Server untuk memberikan pengguna akses masuk tunggal ke sistem dan aplikasi yang terletak melintasi batas organisasi. Ini menggunakan model otorisasi kontrol akses berbasis klaim untuk menjaga keamanan aplikasi dan mengimplementasikan identitas gabungan.
Otentikasi berbasis klaim adalah proses otentikasi pengguna berdasarkan serangkaian klaim tentang identitasnya yang terkandung dalam token tepercaya.
Di ADFS, federasi identitas dibentuk antara dua organisasi dengan membangun kepercayaan antara dua bidang keamanan. Server federasi di satu sisi (sisi Akun) mengautentikasi pengguna melalui cara standar dalam Layanan Domain Direktori Aktif dan kemudian mengeluarkan token yang berisi serangkaian klaim tentang pengguna, termasuk identitasnya. Di sisi lain, sisi Sumber Daya, server federasi lain memvalidasi token dan mengeluarkan token lain untuk server lokal untuk menerima identitas yang diklaim. Ini memungkinkan suatu sistem untuk menyediakan akses terkontrol ke sumber daya atau layanannya kepada pengguna yang termasuk dalam bidang keamanan lain tanpa mengharuskan pengguna untuk mengotentikasi langsung ke sistem dan tanpa dua sistem yang berbagi database identitas pengguna atau kata sandi.
Dalam praktiknya pendekatan ini biasanya dirasakan oleh pengguna sebagai berikut:
- Pengguna login ke PC lokal mereka (seperti biasanya ketika mulai bekerja di pagi hari)
- Pengguna perlu mendapatkan informasi di situs web ekstranet perusahaan mitra - misalnya untuk mendapatkan harga atau detail produk
- Pengguna menavigasi ke situs ekstranet perusahaan mitra - misalnya: http://example.com
- Situs web mitra sekarang tidak memerlukan kata sandi apa pun untuk diketikkan - sebagai gantinya, kredensial pengguna diteruskan ke situs ekstranet mitra menggunakan AD FS
- Pengguna sekarang masuk ke situs web mitra dan dapat berinteraksi dengan situs web 'masuk'
Dari https://en.wikipedia.org/wiki/Active_Directory_Federation_Services