Je ne travaille pas avec Microsoft mais j'ai du mal à comprendre conceptuellement comment AD, ADFS et LDAP fonctionnent ensemble.
Disons que j'ai une application qui a besoin d'un fournisseur d'identité. Comment AD et LDAP entrent-ils en jeu?
Mon googling n'a pas trouvé un résumé clair de ces concepts pour moi, mais s'il existe une ressource qui existe, veuillez me diriger vers elle.
AD et LDAP contiennent des attributs utilisateur, par exemple prénom, nom, numéro de téléphone.
Ils contiennent également un identifiant et un mot de passe utilisateur et des rôles (groupes) qui peuvent donc être utilisés pour l'authentification et l'autorisation.
Cette authentification utilise principalement Kerberos.
Dans le monde Microsoft, AD est le principal acteur mais si vous voulez une AD "simple", vous pouvez utiliser ADAM/LDS qui est essentiellement un LDAP.
ADFS (un IDP) se trouve au-dessus de ceux-ci et fournit une couche de fédération.
La fédération est un concept par lequel les utilisateurs de la société A peuvent s'authentifier auprès d'une application de la société B mais en utilisant leurs informations d'identification de la société A.
Pour ce faire, il utilise l'un des trois protocoles de fédération:
Le résultat est un jeton SAML ou un JWT (OpenID Connect) qui contient un ensemble d'attributs d'une AD pour cet utilisateur. Cette liste d'attributs à fournir est configurée dans ADFS via des règles de revendications et les attributs du jeton sont appelés revendications.