在今天的商业环境中，你很可能会发现，你的机构的合作伙伴和经销商需要利用整个机构范围内的设备和资源进行工作。然而，没有一个可信赖的系统，当进行安全的访问的时候就会遇到一些头疼的问题。

　　一般来说，你向那些需要访问其它域名账户的用户提供这些域名。这种做法可以解决立即进行访问的问题，但是，仍会出现一些重要的安全问题。如果两家公司的IT部门能够达成某种形式的可信赖的协议，他们可能会带来许多好处。要创建这种局面，一个企业要信赖另一个公司的某种主动目录账户，允许那个账户使用自己的证书访问其应用程序，而不用申请一个本地的账户。

　　这种信赖称作“联邦身份管理”(federated identity management，缩写FIM)，是支持Windows Server 2003第二发布版心的活动目录联邦服务(ADFS)组件的核心概念。ADFS使用活动目录作为基本的身份识别储备把FIM的概念集成到了Windows中。通过使用ADFS，你可以在一个用户的主域之外地方安全地访问一个Web应用程序。ADFS使用活动目录中的全部身份识别信息，并且把本地活动目录树系以外的信息提供给外部网领域，如果那里有应用程序话，或者把这些信息提供给其它机构使用。

　　ADFS支持一些本地的情况:Web单一登录和传统的身份识别联邦模式:

　　·单一登录。通过使用基于表格的身份识别和向用户提供一个单一登录进程的cookie，用户首次登录Web用用程序的时候就可以登录，然后，这个cookie将被用来回答这个域中的其它资源将来进行的任何证书查询。你就不需要反复要求用户提供证书了。

　　·身份识别联邦。这里的差别是基本的区别:身份识别联邦把身份识别(验证身份)与访问控制或者授权决定分开了，直接把身份识别放在账户那一边，而不是放在资源那一边。因此，用户不用输入证书向一个外部网站进行身份识别，而是用户的主活动目录识别这个用户的身份，然后自动为那个最终用户生成一个安全令牌。接下来，那个用户就可以向目标应用程序出示这个令牌，那个应用程序使用那个令牌批准访问权限。

　　ADFS基本上由四个组件组成:活动目录(就是存储身份识别信息的地方)、联邦服务器，一个联邦服务器代理和一个在Web服务器上运行的代理。活动目录组件很简单，就是ADFS使用的存储身份识别数据的地方。因此，让我们介绍一下这个架构中的其它部分。联邦服务器是处理安全令牌的一种服务，包括管理企业合作伙伴之间的联邦信任所需要的工具。联邦服务器是用户在申请安全令牌的时候连接的服务器。它将提供浏览器需要向你显示的全部授权信息。最后，在Web服务器上运行的代理确认最终用户身份已经识别完毕，然后为这个用户创建一个关联环境。

　　下面让我们介绍一下一个典型的联邦处理过程:

　　1.一个客户将访问托管这个应用程序的Web服务器。

　　2.这个Web服务器要查看这个客户的安全令牌。如果这个用户没有这个令牌，这个用户就会被退回到资源方面的联邦服务器。

　　3.那台资源联邦服务器然后确定这个客户来自哪里。一个下拉式列表、一个电子邮件地址或者一个cookie都可以识别这个客户的来源。

　　4.这台资源联邦服务器现在知道这个客户来自哪里了，然后将把这个客户重新引导到账户方面的联邦服务器。

　　5.这个客户登录并且向账户方面的联邦服务器进行身份识别。

　　6.这台服务器然后创建一个安全令牌，发回给那个客户。

　　7.这个客户向资源联邦服务器出示这个安全令牌。

　　8.资源联邦服务器验证这个安全令牌(确认这个令牌来自于可信赖的合作伙伴，署名正确并且没有被修改)。

　　9.如果有必要的话，自愿联邦服务器能够修改这个安全令牌，把不同的声明翻译成应用程序能够理解的数据。(例如，如果发送的是一个社会保险号码，账户方面的服务器可以把那个数据标记为SocSecNum，而资源方面可能把那个数据标记为SSN)。如果不需要翻译，那就不会发生这个事情了。

　　10.这台服务器将签署一个新的安全令牌，并且把这个令牌发回给那个客户。

　　11.这个客户然后连接到Web服务器，那台服务器将允许他或者她访问这个应用程序。

　　把ADFS用于商业伙伴信息和资源共享有安全方面的好处。对于用户来说，需要记住的用户名和口令比较少。对于管理员来说，管理方面头疼的事情也少一些。对于帮助台的人员来说，忘记口令的求助电话会少一些。这还意味着用户的账户电话可以免费转给其它公司处理。也许更重要的是，这还意味着一个离开公司的雇员的账户不会留下身份识别的漏洞。这就封闭了一个重要的安全漏洞，提高了合作伙伴和他们自己的网络的安全性。