借助 9 月份 Microsoft Ignite 大会的良好势头,使用 Microsoft Active Directory 联合身份验证服务 (AD FS) 的用户将有理由感到高兴。 我感觉到难以置信,但请继续阅读,我保证您会感到快乐。
AD FS 有什么大不了的? 您可能从标题中了解到,AD FS 是 Microsoft 用于从企业网络到内联网、外联网和云应用实施身份联合和单点登录 (SSO) 的解决方案。 这意味着用户可以使用他们的公司登录信息访问组织外部的应用。 例如,AD FS 允许您的用户从 Microsoft/Windows 环境登录并无缝访问 Office 365 和外部应用(如 Salesforce 或 Box)。
您可能认为企业多年来一直这样做,这并不令人兴奋。 你承诺的欢乐在哪儿? 我们正在努力,坚持住。 熟悉部署 AD FS 的人员可能也熟悉 Microsoft Web应用代理 (WAP)。 WAP 是 Microsoft 的网关产品,允许外部访问内部(防火墙后面)应用,例如 AD FS。 WAP 使用 Active Directory 联合身份验证服务和代理集成协议 ( MS-ADFSPIP ,肯定是本博客中出现的最长的首字母缩写词) 对 AD FS 提供特定支持。 该协议支持 AD FS 服务器和 WAP 之间所需的基于证书的相互身份验证和特定信息的交换。
外部用户必须通过 WAP 才能访问 AD FS。 WAP 在 Windows 服务器上运行。 这是增加复杂性和成本的部分。 这些系统通常需要进行负载平衡和高度安全配置,因为它们暴露在开放的互联网中,并且您可能需要许多这样的系统来扩展。
以下是精彩的部分: F5 已使 F5 BIG-IP平台能够支持 MS-ADFSPIP,这是第一款这样做的非微软产品。 这意味着什么? 带有访问策略管理器(APM) 的 F5 BIG-IP 可以取代 WAP 服务器及其支持负载均衡器。 您可以使用专门设计用于公开给互联网的安全解决方案来代理 AD FS。 使用 F5 作为 AD FS 代理,您可以减少 DMZ 中的服务器数量、简化部署、更快地扩展,同时仍然完全支持 MS-ADFSPIP。
您可以查看 Microsoft Ignite 会议,其中 Microsoft 身份部门首席集团项目经理 Samuel Devasahayan在此处透露了令人兴奋的消息。 你几乎可以听到喜悦的泪水落下的声音。