昨天有人問我是否可以使用 ADFS 建立跨網域身份驗證。
設想:
- 兩個不同的 Windows 網域(A 和 B),沒有任何信任配置
- Domain之間的網路存取是透過IPSec Site2Site建立的(所有連接埠需要單獨開啟)
- 網域 A 中的伺服器上的一個特定 Windows 服務必須使用網域 B 中的 AD 帳戶進行登入(Windows 服務 -> 登入 -> 此帳戶 -> 網域 B 中的帳戶)
由於安全性原因,我們的合作夥伴不想建立網域信任,因此詢問我們是否可以透過 ADFS 實現此身份驗證流程?
ADFS 對我來說很新,我不確定 ADFS 是否可以實現這種情況?
答案1
如果沒有網域信任,這是不可能的。
ADFS 允許應用程式針對 AD(或其他身分提供者)進行身份驗證,而無需直接存取它;但應用程式必須明確支援此身份驗證方法。
Windows 登入則不然。
為了登入 Windows 系統,您需要:
- 使用本機用戶帳號登入
- 使用系統加入的網域中的使用者帳號登入
- 使用受信任網域中的使用者帳戶登入
答案2
要新增至 @Massimo 答案,如果您可以變更 Windows 服務以將 OpenID Connect 與用戶端憑證流一起使用(即服務而不是用戶,因此無需明確登入),那麼這將會起作用。
另一個選項是服務使用老式的 WS-Trust,即 WCF。
ADFS 支援這兩者。