saml

之前我们为大家介绍AD FS，如果还没看过上一期讲解的看这里： 《AD FS是什么，用在什么场景，原理是什么？》 本期我们继续扩大为大家分享AD FS的企业部署，把部署前的各种要求进行讨论。以下是企业部署任务： 准备部署 Active Directory 联合身份验证服务 (AD FS)，规划AD FS部署。 如果决定将 Microsoft SQL Server 用于 AD FS 配置存储，请确保部署 SQL Server 的功能实例。 将计算机加入 Active Directory 域。 为 AD FS 注册 (SSL) 证书的安全套接字层。 安装 AD FS 角色服务。 配置联合服务器。 可选步骤：使用设备注册服务配置联合服务器 (DRS)。 将一个主机 (A) 和别名 (CNAME) 资源记录添加到企业域名系统 (联合身份验证服务和 DRS 的 DNS)。 验证联合服务器是否正常运行。 证书要求 证书在保护联合服务器、Web 应用程序代理、声明-感知应用程序和 Web 客户端之间的通信方面发挥着最重要的作用。证书要求因你设置的是联合服务器还是代理计算机而异，具体取决于此部分中所述。 安全套接字层 (SSL) 证书 这是标准的 SSL 证书，用于保护联合服务器和客户端之间的通信。 此证书必须是公开信任的* X509 v3 证书。 访问任何 AD FS

身份认证 是验证你的身份，一旦通过验证，即启用授权。你所拥有的身份可以进行哪些操作都是由 授权 规定。例如，任何银行客户都可以创建一个账户（如用户名），并使用该账户登录该银行的网上服务，但银行的授权政策必须确保只有你有权限访问自己的网上个人账户，当然前提是你得先通过身份认证。 简单来说就是： 认证回答「你是谁」的问题，授权规定「你能干什么」。 认证Authentication 认证意味着证实某个用户是他所声明的那个人。 Username and Password Credentials Multi-Factor Authentication Token Based Credentials a Better Alternative to Username Password Credentials Federated Identity Single Sign-On Single Experience WS-Security With SAML Assertions OpenID Connect with JWT ID Tokens Single Sign-On Multi-Experience SAML CAS 授权Authorization 授权意味决定一个身份确定的用户能够访问那些资源。 本质上可以授权可以理解为是访问控制，是系统对访问某些数据或执行某个操作的权限的控制。 Role

远程工作给IT管理员带来了很多挑战，如：当用户联系管理员以远程重置或更改其AD域密码时，新凭据不会在其设备中更新，因为这些设备未连接到AD网络。 ADSelfService Plus是可以解决此类远程工作难题的解决方案，该工具以及ManageEngine的整套身份和访问管理（IAM）解决方案套件现在提供免费下载试用60天，以帮助为应对当前健康危机而切换到远程办公的企业。 让我们深入了解ADSelfService Plus如何解决远程工作难题： 借助ADSelfService Plus，管理员可以允许员工即使不在办公场所，也可以远程登录直接更改或重置密码，或解锁帐户。这些过程通过强大的多因素身份验证（MFA）措施（例如Duo Security，RSA SecurID和RADIUS）得到保护。 用户可以使用多因素身份验证安全地登录其Windows，Linux或Mac系统。用户只有在通过两种不同的因素进行身份验证后才能登录，如与YubiKey，Google Authenticator组合的密码或SMS一次性密码（OTP），从而使其安全度提高了一倍。 用户不再需要记住多个密码；ADSelfService Plus带有针对所有启用SAML的应用程序的企业单一登录（SSO）。只需登录该解决方案，用户就可以访问其所有应用程序，因为有了MFA，它会十分安全。

Cas客户端的调用流程主要有几个过滤器实现： casSingleSignOutFilter casValidationFilter casAuthenticationFilter casHttpServletRequestWrapperFilter casAssertionThreadLocalFilter 这5个过滤器的调用顺序之上而下依次执行，只有这几个过滤器执行完毕后，才会进入自己的过滤器中。 SingleSignOutFilter 1. 拦截登录请求，通过有无ticket（url参数）参数判断，即登录后回来的第一步。如果有ticket，则创建session，并且记录session和ticket的一对一关系，此后将不会有ticket参数； 2. 拦截登出请求，根据服务端传过来的ticket参数，找到对应的session，销毁session； 源码如下： public boolean process(HttpServletRequest request, HttpServletResponse response) { if (this.isTokenRequest(request)) { this.logger.trace("Received a token request"); // 将cookie和session建立对应关系 this.recordSession