AD FS (Active Directory Federation Services) — это роль Windows Server, которая реализует Single Sign-On для веб-приложений и облачных сервисов. Суть простая: пользователь один раз вводит логин и пароль от домена — и дальше ходит по приложениям без повторной аутентификации. Работает и для внутренних корпоративных систем, и для внешних SaaS-сервисов.
AD FS говорит на всех актуальных языках федерации: SAML 2.0, WS-Federation, OAuth 2.0, OpenID Connect. На практике это означает, что вы без особых усилий подключите Office 365, Salesforce, AWS, GitLab, Jira, Confluence — и вообще любой сервис с поддержкой SAML или OIDC. Таких приложений уже тысячи.
По архитектуре AD FS выступает Identity Provider-ом (IdP). Схема работы выглядит так: пользователь идёт в приложение (Service Provider / Relying Party), то перенаправляет его на страницу входа AD FS, AD FS проверяет учётку через Active Directory, выдаёт токен — SAML assertion или JWT — и отправляет обратно в приложение уже с подтверждённой личностью. Всё это происходит за секунды и незаметно для пользователя.
Оставить комментарий