當(dāng)微軟***在Windows Server 2003 R2中引入活動(dòng)目錄聯(lián)合服務(wù)（ADFS）時(shí)，該功能并沒(méi)有得到太多的喝彩。有些功能理論上聽起來(lái)很好，但是出現(xiàn)的時(shí)間有些早，ADFS就是這些功能中的一個(gè)。

微軟在Windows Server 2008和Windows 2008 R2中囊括了活動(dòng)目錄聯(lián)合服務(wù)，甚至還提供了可下載的2.0版本。但是，似乎沒(méi)有人在生產(chǎn)環(huán)境中使用ADFS。這種情況也許要改變了。

ADFS提供管理在線身份和提供單點(diǎn)登錄（single sign-on）功能的方法。由于從運(yùn)行本地應(yīng)用到運(yùn)行云中應(yīng)用的轉(zhuǎn)變，ADFS變得越來(lái)越重要。

當(dāng)應(yīng)用程序在本地運(yùn)行時(shí)，所有應(yīng)用一般都直接安裝在用戶桌面、終端服務(wù)器或應(yīng)用服務(wù)器上。在任意一種這些情況中，應(yīng)用程序的權(quán)利都由活動(dòng)目錄對(duì)象（如用戶和群組）保證。一旦用戶登錄到活動(dòng)目錄，他們?cè)谡麄€(gè)林中被識(shí)別，不管他們連接到哪臺(tái)服務(wù)器來(lái)訪問(wèn)應(yīng)用和其它資源。

盡管這種訪問(wèn)控制模式已經(jīng)良好地運(yùn)用了十年，但當(dāng)云托管的應(yīng)用進(jìn)入到畫面，它開始倒塌。例如，當(dāng)用戶早上登錄到他們的電腦，他們登錄到一個(gè)活動(dòng)目錄域。這建立了一個(gè)他們?cè)谄髽I(yè)中訪問(wèn)資源時(shí)會(huì)用到的身份。

但是，如果一個(gè)人從瀏覽器中打開Netflix，它無(wú)法識(shí)別該用戶。這個(gè)網(wǎng)站，雖然技術(shù)上是一個(gè)云應(yīng)用，并不在乎用戶登錄到活動(dòng)目錄域。Netflix管理他們的用戶帳戶信息，所以人們必須提供一套明確針對(duì)該網(wǎng)站的憑證。

登錄到Netflix的行為不只是確認(rèn)我是已付款的用戶。同樣地，每個(gè)用戶都有必要擁有唯一的憑證，因?yàn)榫拖袢魏纹渌鼞?yīng)用一樣，Netflix保持人性化的設(shè)置，如演員表信息和電影順序。例如，盡管一名用戶也許只有一次簡(jiǎn)單的Netflix訂閱，家庭中的每個(gè)人都有自己獨(dú)立的登錄，所以他們能夠管理自己的電影順序。

記住，相同的概念可以應(yīng)用到企業(yè)環(huán)境。越來(lái)越多的組織開始在云中運(yùn)行應(yīng)用。而且，就像Netflix，這些應(yīng)用中的大部分需要一套唯一的憑證，盡管記住Netflix密碼很簡(jiǎn)單，這個(gè)概念確實(shí)沒(méi)有在企業(yè)中擴(kuò)展得很好。

為什么基于云的身份管理會(huì)是如此大的挑戰(zhàn)？這有很多原因。首先，每個(gè)基于云的應(yīng)用都可能由不同的提供商托管。例如，除了擁有Netflix帳戶之外，用戶還能擁有亞馬遜帳戶。這兩者彼此沒(méi)有關(guān)第，它們需要兩套不同的憑證。試想一下，與這相同的概念如何能在企業(yè)環(huán)境中實(shí)施。如果一個(gè)組織購(gòu)買了20個(gè)托管應(yīng)用，接著用戶就有20套不同的憑證要記住，不管是對(duì)于管理人員還是技術(shù)支持人員來(lái)說(shuō)，這都是一場(chǎng)運(yùn)維的噩夢(mèng)。

管理人員面對(duì)設(shè)置所有這些帳戶的負(fù)擔(dān)，而技術(shù)支持人員面對(duì)管理密碼重設(shè)的艱難任務(wù)。對(duì)于用戶來(lái)說(shuō)，打電話或說(shuō)他們需要密碼重設(shè)已經(jīng)不夠了。現(xiàn)在，他們必須指出他們?cè)L問(wèn)出問(wèn)題的應(yīng)用是哪個(gè)，且?guī)椭_(tái)必須重設(shè)用于該應(yīng)用的密碼。

也正是這類運(yùn)維挑戰(zhàn)讓ADFS得到更廣泛地采用。 現(xiàn)在，微軟正在使用ADFS來(lái)為那些想遷移某些網(wǎng)絡(luò)服務(wù)的用戶引向一條朝向Office 365的道路。

Office 365包括微軟的Exchange、SharePoint和Lync。所有這些應(yīng)用都需要一個(gè)活動(dòng)目錄（AD）環(huán)境，但是不能只是將Office 365加入到域中。相反地，要使用ADFS來(lái)安裝目錄同步化。

因?yàn)镺ffice 365應(yīng)用程序需要一個(gè)活動(dòng)目錄環(huán)境，微軟為你的Office 365購(gòu)買創(chuàng)建了專用域。該目錄同步化程序自動(dòng)地在微軟域中創(chuàng)建帳戶 ，它與本地林中現(xiàn)存的帳戶匹配（用戶選擇他們想同步化哪個(gè)帳戶）。當(dāng)然，還是有與同步化帳戶相關(guān)的密碼，這也正是ADFS起作用的地方。

當(dāng)用戶試圖訪問(wèn)Office 365時(shí)，ADFS向微軟服務(wù)器提交一次請(qǐng)求。該請(qǐng)求包括用戶的身份信息。微軟服務(wù)器驗(yàn)證請(qǐng)求真實(shí)后提取帳戶信息。接著，該用戶自動(dòng)地登錄到微軟域中的帳戶并獲得到請(qǐng)求應(yīng)用的訪問(wèn)權(quán)。在整個(gè)過(guò)程中，用戶除了像往常一樣登錄本地林不用再做其它事情。

ADFS解決了云身份管理的挑戰(zhàn)?，F(xiàn)在還不是所有云應(yīng)用提供商都支持ADFS。但隨著著越來(lái)越多的組織采用Office 36***DFS會(huì)成為將企業(yè)連接到托管Web應(yīng)用的標(biāo)準(zhǔn)機(jī)制，這只是時(shí)間的問(wèn)題。

【編輯推薦】

1. 為Exchange 2007準(zhǔn)備活動(dòng)目錄的方法
2. Win2000基礎(chǔ)教程之活動(dòng)目錄的三種特性
3. Windows Server2008活動(dòng)目錄無(wú)人值守安裝返回代碼總結(jié)
4. 利用Repadmin診斷Windows活動(dòng)目錄的復(fù)制問(wèn)題
5. 活動(dòng)目錄在構(gòu)建核心過(guò)程中的八個(gè)關(guān)鍵點(diǎn)