什么是ADFS？

在今天的现代 IT 环境中，身份和访问管理（IAM）工具的重要性日益凸显，而远程工作的普及导致数字威胁无处不在，在此背景下 IAM 变得更加不可或缺。IAM 市场也不断发展，许多厂商一直在努力跟进，希望满足企业不断变化的需求。如今，企业通过传统方案和基于云的方案的各种结合支持关键业务流程，也保障了员工的灵活性。

2003年，微软推出了 Active Directory 联合身份验证服务（ADFS）作为 Windows Server 操作系统的扩展功能，允许企业拓展用户的单点登录（SSO），让用户能访问企业防火墙之外和跨企业边界的资源，灵活精简终端用户体验，同时改进 IT 管理员对其用户账号和第三方应用的控制。

本文将讨论 ADFS 的含义、运作原理和相关使用案例，还将探究如今的 IAM 行业为什么要从ADFS 等独立拓展方案转向更全面的云 IAM 方案。

什么是ADFS？

ADFS 是微软的本地 SSO 解决方案，支持对 Active Directory（AD）和集成 Windows 身份验证（IWA）不兼容的应用进行用户认证。2000年掀起了软件即服务（SaaS）的热潮，而微软在这一年发布 ADFS 就是为了帮助企业更好地利用 SaaS。

当时的微软已经是 IT 龙头之一，企业使用的应用几乎都是本地部署和基于 Windows 系统，这就给 Windows 系统和企业边界外的应用带来了身份验证问题。ADFS 的出现则解决了这一问题，身份信息能在公司外网安全共享，方便访问面向 Web 的资源，包括在关联企业托管的 Web 应用。

本质上，ADFS 允许企业通过互联网创建一种“信任关系”，将本地设置中的身份扩展到基于云的环境从而对 AD 进行补充，其运行方式与使用安全断言标记语言（SAML）协议的基于 Web 应用的 SSO 服务基本一致。此外，ADFS 还可以使用 cookie 和 JSON Web 令牌 （JWT）等其他令牌标准来提供身份验证服务，但仅限于本地，无法在云上使用。

ADFS 如何运作？  

ADFS 采用基于声明的验证方式，先核验用户的一组声明（其中包含受信任令牌中的身份），然后提示用户进行 SSO ，以便访问不同网络上的多个应用和系统。

在 ADFS 中，首先要确认两个企业安全领域之间的信任关系随后再建立身份联合。企业的联合服务器通过标准 Active Directory  域服务（AD DS）进行用户认证，之后 AD DS 会发出一个令牌，由一系列用户相关的声明组成，其中包括用户在企业中的身份声明。 

在企业的资源端，另一个 AD FS 服务器会确认 AD DS 的令牌并提供另一个令牌让本地服务器接受用户所声明的身份。这样一来，系统就能控制对资源的访问，用户也无需直接对应用进行身份验证。  

企业为什么使用 ADFS ？

2003年以前，企业主要使用 AD 和 IWA 管理终端用户对内部资源的访问。随着远程访问和云服务不断普及，越来越多用户希望访问 SaaS 和 Web 应用等外部资源，而AD 和 IWA 显然无法解决现代身份验证问题。

ADFS 简化了第三方身份验证问题，帮助企业在不断发展的办公场景中更好地管理对资源的访问：用户使用 Windows 凭证登录后，就完成了所有已批准的第三方系统和应用的身份验证。此外，SSO 功能让用户在访问 SaaS 和 Web 应用时无需再记住不熟悉和不同账号的凭证。

除了用户，ADFS 也能帮助 IT 管理员和开发人员。IT 管理员可以保留大部分现有的 AD 设置，特别是在 IT 环境仍然基于本地和 Windows 系统的情况下，管理员也能完全掌握自己的数字身份。对于开发人员来说，ADFS 简化了企业的用户认证，他们只需要企业目录中的身份就能进行验证，可以专注于更高效的任务。  

ADFS 存在的问题

ADFS 的普及得益于作为主要目录服务的 AD，以及基于 Windows 系统的 IT 环境，与此同时 ADFS 也存在着不容忽视的问题和局限性。

尽管 ADFS 是 Windows Server 操作系统上的免费功能，但要调试 ADFS 还需要许可证和服务器来托管联合身份验证服务，这对企业来说成本过高，不仅需要考虑终端用户客户端访问许可证（CAL）的成本，还要考虑服务器许可成本，而后者自微软推出 Windows Server 2016 以来不断上涨，现在按照内核单独计算。除了成本问题，ADFS 也无法为拥有混合 IT 环境的企业提供所需的灵活性，这类企业除了有 Windows 系统资源之外还有其他资源。 

如今，为了保持竞争力，IAM 和 SSO 工具需要将用户连接到尽可能多的 IT 资源，且不受平台、厂商、位置或协议的限制。没有企业愿意采买或管理多个解决方案后依然无法处理所有的 IAM 业务，这也是为什么 IAM 行业正在从 ADFS 等 Web 应用 SSO 的单点解决方案转向可完全集成到 IAM 平台的更全面的方案。

坚持使用 ADFS 的企业基本上都局限于 Windows 的生态系统和部分 SaaS 解决方案。然而，今天的微软不再是 IT 行业的唯一参与者，企业只有敢于从微软生态系统迁移才能实现统一身份管理。

宁盾可以帮助企业从 AD 向多云/混合云资源（如腾讯云、阿里云、华为云、AWS、Azure AD、Okta 等）迁移，不论是遗留应用还是为业务发展新增的应用，都能实现快速纳管，无需考虑 ADFS 产生的成本、运维问题。

不过，尽管ADFS存在着一些局限性，但对于企业而言它并不是毫无价值的。在一些新场景下，宁盾增强方案能够补足ADFS的能力，让ADFS更适合混合IT环境。

ADFS存在的问题：应用接入难度大，运维代价高。宁盾通过SAML等标准SSO协议快速对接业务系统，同时基于非标接口适配业务系统，从而实现业务系统纳管。如此，解决了ADFS和业务应用的对接难题。

ADFS无法应对新的身份需求，尤其是安全需求。宁盾具备认证增强的能力，如MFA、统一身份认证等。宁盾充当ADFS的认证代理，基于代理提供身份安全上的能力增强。

例如，有些企业使用Office 365、outlook等应用，出于信息安全考虑需要对登录入口进行保护。ADFS本身没有MFA能力，宁盾则通过与ADFS对接，为ADFS服务增加二次动态密码认证，从而提升应用登录的账号密码安全。