面向 Microsoft 和 F5 客户的身份联合和 SSO

借助 9 月份 Microsoft Ignite 大会的良好势头，使用 Microsoft Active Directory 联合身份验证服务 (AD FS) 的用户将有理由感到高兴。 我感觉到难以置信，但请继续阅读，我保证您会感到快乐。   

AD FS 有什么大不了的？ 您可能从标题中了解到，AD FS 是 Microsoft 用于从企业网络到内联网、外联网和云应用实施身份联合和单点登录 (SSO) 的解决方案。 这意味着用户可以使用他们的公司登录信息访问组织外部的应用。 例如，AD FS 允许您的用户从 Microsoft/Windows 环境登录并无缝访问 Office 365 和外部应用（如 Salesforce 或 Box）。

您可能认为企业多年来一直这样做，这并不令人兴奋。 你承诺的欢乐在哪儿？ 我们正在努力，坚持住。 熟悉部署 AD FS 的人员可能也熟悉 Microsoft Web应用代理 (WAP)。 WAP 是 Microsoft 的网关产品，允许外部访问内部（防火墙后面）应用，例如 AD FS。 WAP 使用 Active Directory 联合身份验证服务和代理集成协议 ( MS-ADFSPIP ，肯定是本博客中出现的最长的首字母缩写词) 对 AD FS 提供特定支持。 该协议支持 AD FS 服务器和 WAP 之间所需的基于证书的相互身份验证和特定信息的交换。

外部用户必须通过 WAP 才能访问 AD FS。 WAP 在 Windows 服务器上运行。 这是增加复杂性和成本的部分。 这些系统通常需要进行负载平衡和高度安全配置，因为它们暴露在开放的互联网中，并且您可能需要许多这样的系统来扩展。

以下是精彩的部分： F5 已使 F5 BIG-IP平台能够支持 MS-ADFSPIP，这是第一款这样做的非微软产品。 这意味着什么？ 带有访问策略管理器(APM) 的 F5 BIG-IP 可以取代 WAP 服务器及其支持负载均衡器。 您可以使用专门设计用于公开给互联网的安全解决方案来代理 AD FS。 使用 F5 作为 AD FS 代理，您可以减少 DMZ 中的服务器数量、简化部署、更快地扩展，同时仍然完全支持 MS-ADFSPIP。

您可以查看 Microsoft Ignite 会议，其中 Microsoft 身份部门首席集团项目经理 Samuel Devasahayan在此处透露了令人兴奋的消息。 你几乎可以听到喜悦的泪水落下的声音。