私は Microsoft で働いていませんが、AD、ADFS、LDAP がどのように連携するかを概念的に理解するのに苦労しています。
ID プロバイダーを必要とするアプリケーションがあるとします。AD と LDAP はどのように機能しますか?
グーグルで検索してもこれらの概念の明確な要約は見つかりませんでしたが、もしリソースが存在する場合は、ぜひ教えてください。
ベストアンサー1
AD と LDAP には、名、姓、電話番号などのユーザー属性が含まれています。
また、ユーザー ログインとパスワード、およびロール (グループ) も含まれているため、認証と承認に使用できます。
この認証では主に Kerberos が使用されます。
Microsoft の世界では、AD が主なプレーヤーですが、「シンプルな」AD が必要な場合は、基本的に LDAP である ADAM/LDS を使用できます。
ADFS (IDP) はこれらの上に配置され、フェデレーション レイヤーを提供します。
フェデレーションとは、会社 A のユーザーが会社 A の資格情報を使用して会社 B のアプリケーションに対して認証できるという概念です。
これを実行するには、次の 3 つのフェデレーション プロトコルのいずれかを使用します。
- SAM 2.0 の概要
- WSフェデレーション
- オープンIDコネクト
結果は、そのユーザーの AD からの属性セットを含む SAML トークンまたは JWT (OpenID Connect) です。提供される属性のリストは、クレーム ルールを介して ADFS で構成され、トークン内の属性はクレームと呼ばれます。