上周我提到了活动目录联合服务(ADFS)的明显好处——这是将Windows Server 2003安装升级到R2的最大原因。这是允许合作伙伴和客户从外部访问您的安全域的一种很好的方式。但是,就像几乎所有微软的东西一样,它没有考虑到非windows平台。
在您的网络上有任何非windows平台吗?你的伴侣网络上有吗?你的客户和客户?你能确定将来不会有吗?
幸运的是,两家率先使您能够对Active Directory进行非windows平台身份验证的公司已经跟上步伐,并支持ADFS。这意味着无论在哪个平台上,您的安全域之外的活动目录身份验证、授权和安全性都可以以一种细粒度的方式处理。
Centrify的DirectControl和Quest Software的Vintela认证服务都与ADFS紧密集成,为非windows平台带来了好处。在最近的Catalyst Conference上,我与Centrify的Tom Kemp和Quest的Jackson Shaw进行了交谈,他们都强调ADFS是Windows Server 2003 R2中最好的部分。
肖指出,Quest的两个产品目前正在利用R2。Vintela认证服务一直使用RFC 2307 (LDAP作为网络信息服务的一种方法)在Active Directory中存储Unix标识属性的标准。微软现在已经在Windows Server 2003 R2中使用了RFC 2307。这意味着使用Vintela身份验证服务进行跨平台身份验证的客户已经为Windows Server 2003 R2做好了准备,无需更改Vintela身份验证服务就可以从Windows Server 2003 R2中受益。此外,Vintela Single Sign-on for Java已经更新,以支持Windows Server 2003 R2中的新ADFS功能。这为Java和J2EE应用程序和服务的身份管理提供了一个统一的平台,这些应用程序和服务来自用于为Windows资源提供单点登录的同一个Active Directory基础设施。
Kemp不仅准备谈论Centrify对ADFS的使用,而且积极地向任何愿意驻足观看的人展示它。该公司甚至为Windows Server 2003的R2版本发布了一款新产品,DirectControl for Microsoft ADFS。通过它,您可以使用Microsoft ADFS为驻留在Apache和流行的J2EE Web服务器(包括IBM WebSphere、BEA WebLogic、JBoss和Tomcat)上的应用程序提供安全、联合的身份管理。
如果您的网络上存在多个森林、多个安全域或正在访问这些域,那么您确实需要将服务器升级到R2。如果有任何非windows平台,你真的需要认真考虑将Quest或Centrify的产品添加到工具包中。