许多年来，IT部门都把他们的时间，精力和预算专注于如何在安全访问资源和控制访问合法性之间取得最佳平衡点。之前的情况是，如果一个公司依赖于一个统一的身份验证系统，那么实现这个目标就相对容易一些，比如微软的活动目录，域中的合法用户同时也对网络中其它资源拥有访问权限。

　　但是，这种统一性很难实现，就算是在自己公司内部。这就对管理跨应用平台的用户授权管理造成了一些挑战，特别是在该应用被设计成使用某种特别的验证资源的时候。例如，一个业务系统特别设计用来和某活动目录集成，使用Kerberos来进行授权验证，它可能会让那些在域中没有账户的合作伙伴或者客户能访问该系统。

　　当需要启用跨组织的资源访问时，如合作伙伴之间或类似windows Azure等云系统时，管理用户验证的复杂性就加倍了。越来越频繁地，公司一直在寻找新的方案，允许和其它安全区域之间的高效互通且能简单地实现互访――除了以上提到的这些技术。像这种合作伙伴之间的安全互访，最常用到的是联合。

　　为了解决这些问题，管理员们需要在认证系统（比如活动目录）和应用系统（比如微软的Sharepoint）之间找到一个第三方层面的系统。解决这个问题的方法之一就是通过使用基于声明的认证方式。通过这种模式，用户信息可以通过声明扩展为统一格式，然后这些声明可用标准格式传输给应用系统，而不用考虑用户授权的位置及如何获得授权。

　　基于声明的授权模式并不算新概念。事实上，下列几种情况都可以看作是一个声明：

• 这个用户的UPN是adamcar@adatum.com
• “这个用户是财务角色的成员”
• “这个用户已满18岁”

　　从技术上说，声明通过标准方式来传输，比如安全声明标记语言 (SAML)，所以他们都是以相同的格式在许多认证资源和应用系统之间传输。

　　比如，一个通过用户名和密码来得到活动目录控制器认证的用户，和一个用智能卡和PIN在UNIX环境下认证的用户，可以使用格式相同的声明。事实上，从应用系统的角度来看，这两个用户使用了两个完全不同且没有任何联系的认证环境。而他们却可以使用完全相同的声明格式来和应用系统交互，然后应用系统可以对他们进行验证及身份判断。

　　从Windows Server 2003 R2开始，微软提供了一个基于声明验证的解决方案，叫做活动目录联合身份验证服务（ADFS）。微软正在为目前的ADFS准备重要的升级，包含两个主要组件：

1. 活动目录联合身份验证服务2.0――ADFS2.0以联合身份验证服务器的方式运行，它可以为访问用户提供验证服务，还能为那些需要用基于声明应用的用户生成声明。更特别的是， ADFS2.0服务器是活动目录域的成员服务器。基于这个原因，它可以接受任何支持活动目录的认证方式，包括用户名、密码、证书和智能卡。

　　一旦用户通过认证，ADFS服务器就可以为这些用户颁发声明，可以发送给其它ADFS服务器、第三方联合身份验证服务器或是直接给基于声明的应用系统用于验证。类似地，一个ADFS服务器也可以接收来自其它联合身份验证服务器发送过来的用户信息――ADFS2.0或者其它系统――ADFS可以用这个信息进行验证或者将其传递给其它基于声明的服务或应用系统。ADFS2.0目前还在待发行阶段（RC），计划将与2010年上半年正式发行。

2. Windows Identity Foundation (WIF)——这是一个开发平台，允许.NET开发人员（用ASP.NET,WCF,或者其它开发平台）开发和管理支持任意联合身份验证服务器生成的声明，无论它是用ADFS服务器还是其它第三方联合验证服务器。WIF于2009年11月在微软专业开发者大会上发布，它在微软官方网站上可以免费下载。

　　通过结合使用ADFS2.0和WIF,管理员和开发者可以配合工作来提供多种用户访问方式：

• 在组织内部单点登陆——WIF允许开发者依赖ADFS和其它联合验证平台来去除某个特殊认证方式的依附性。这可以减少许多独立用户访问不同系统的用户名和密码的维护。
• 跨越合作伙伴的系统单点登陆——在一个或者多个公司之间使用ADFS，你可以提供一个在这些公司之间的登陆页面，A公司的用户可以用A公司自己的证书来访问Contoso资源，而Contoso不需要为A公司用户创建、维护另外一套证书(A公司用户无须去记住另外一套用户和密码)。
• 单点登陆到云计算平台——ADFS允许公司内活动目录用户用他们的AD证书去访问软件及服务（SaaS）应用提供商的服务，如salesforce.com和google apps。在不久的将来，这个功能将扩展到允许用联合身份验证方式访问微软在线和基于Azure的应用。