Qual è la differenza tra ADFS e active directory domain controller?

Un controller di dominio detiene l'attuale "Active Directory", cioè, il database degli account degli utenti e dei computer che sono membri del dominio.

L'ADFS -- Active Directory Federation Server -- non detiene quel database, ma serve come intermediario da un altro/diverso dominio esterno (o simile), quindi interroga un effettivo controller di dominio Active Directory per richiedere l'autenticazione per gli utenti che cercano di accedere da quell'ambiente esterno.

Un esempio comune sarebbe una distribuzione di Office 365 nel cloud Microsoft (che è su Internet) richiede al server ADFS di autenticare ogni utente O365 rispetto al dominio interno. ADFS passerebbe questa richiesta a un controller di dominio e la risposta indietro a Office 365 - se ha successo, all'utente AD interno verrebbe concesso l'accesso alle risorse O365 basate sul cloud (e-mail, ecc.).

Frequentemente è in realtà O365 a un proxy ADFS (che è raggiungibile da Internet) che passa la richiesta a un server ADFS (all'interno dei firewall) e poi a un controller di dominio su una rete interna. (L'idea è quella di proteggere i server di dominio sensibili dagli hacker su Internet.)

Il server "Federation" abilita la "federazione" che essenzialmente permette ai server di risorse esterne di fidarsi del dominio Active Directory interno senza avere una "fiducia" diretta tra di loro.