Office365身份管理:DirSync密码同步与AD FS的区别

日期: 2015-11-29 作者:Michael Van Horenbeeck翻译:朱文浩 来源:TechTarget中国 英文

去年,微软更新了它的Windows Azure Active Directory同步工具DirSync,它包含一项名为密码同步(Password Synchronization)的功能帮助组织同步最终用户的密码。然而在此次更新之前,Active Directory Federation Services(AD FS)是Office 365最终用户使用密码接入服务的唯一选择。 为了帮助大家决定到底哪种密码同步功能更加适合,让我们近距离地观察DirSync的密码同步功能与AD FS各自的选项,并进行比较。 密码同步与AD FS的区别 在深入探讨密码同步的特性之前,你需要知道在技术层面,AD FS与……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

去年,微软更新了它的Windows Azure Active Directory同步工具DirSync,它包含一项名为密码同步(Password Synchronization)的功能帮助组织同步最终用户的密码。然而在此次更新之前,Active Directory Federation Services(AD FS)是Office 365最终用户使用密码接入服务的唯一选择。

为了帮助大家决定到底哪种密码同步功能更加适合,让我们近距离地观察DirSync的密码同步功能与AD FS各自的选项,并进行比较。

密码同步与AD FS的区别

在深入探讨密码同步的特性之前,你需要知道在技术层面,AD FS与密码同步的主要区别就像苹果和橙子一样。这两款工具在最终用户体验上如出一辙。举例来说,它们都支持最终用户用他们的密码来接入Office 365服务。

但AD FS在工作原理上与密码同步完全不同,描述这种差别最好的办法便是执行一遍各自的登陆过程。

想象某个情景中一个最终用户登录到Office 365的门户(portal.microsoftonline.com),如果该账号是联合的且使用AD FS,那么将会发生如下情况:

1. 用户在用户名框中输入他的用户名(用户主体名称)。

2. 用户名被输入后,Office 365将会检查源自用户主体名称中的域名是属于普通域还是联合域。

3. 当验证平台,即Windows Azure发现该域是联合域的同时将重定向用户的浏览器到它们的AD FS端点去“获取”一个AD FS令牌。

4. 用户向AD FS服务器进行验证,这是对活动目录进行验证,如果凭据是合法的,用户将从AD FS收到一枚登陆令牌。最终用户将被重定向到Office 365的验证平台。

5. Windows Azure验证平台将立即接受AD FS令牌并且使用它来验证最终用户。

6. 最终用户通过验证并且被重定向到门户。

密码同步功能下的过程却与此不同。与上述景中关键差异之处在于使用AD FS时,预置的主动目录作为身份提供者并验证凭据。与AD FS不同的是,Windows Azure在密码同步作为身份提供者,因为它会比照自身数据库中的已知值来检验证用户的凭据。

1. 用户在用户名框中输入他的用户名(用户主体名称)。

2. 用户名被输入后,Office 365将会检查源自用户主体名称中的域名是属于普通域还是联合域。

3. 当验证平台,即Windows Azure发现该域是非联合域时它将不会采取任何行动。

4. 最终用户在密码框中输入他的密码并点击登录按钮。验证平台接收到用户的凭据将验证与自身数据库中的用户名/密码进行比对。由于密码已经被同步,它将与用户的活动目录的密码保持一致。

抛开一些配置上的差异不谈,最终用户体验在上述情景中是几乎相同的。密码同步可以凌驾于基于云的密码复杂度要求以及密码寿命要求,就像AD FS那样。因此如果体验是几乎相近的,为什么会选择需要一台或更多服务器的AD FS,而不选择集成DirSync工具的密码同步功能呢?答案就在下一篇文章里:《Office365身份管理:DirSync密码同步vs. AD FS优劣势对比

相关推荐