Требуется ли служба токенов безопасности

Мы посмотрели на Identity Server, и Starter STS кажется большим, чтобы обслуживать несколько зашифрованных заявлений. Итак, переходя к вопросу

  1. Обязателен или обязателен STS для интеграции с ADFS 2.0?

  2. Мы выбрали Identity Server, поскольку ADFS 2.0 не поддерживает другие хранилища данных.

  3. Есть ли возможность обслуживать заявки через контроллеры mvc или что-то еще с использованием Windows Identity Foundation и протокола SAML 2.0


.net asp.net-mvc saml sts-securitytokenservice wif
person Deeptechtons    schedule 19.12.2012    source источник

Ответы (3)


arrow_upward
2
arrow_downward

Вы отметили это с помощью SAML, поэтому я предполагаю, что это протокол (а не WIF).

Я предполагаю, что ваше приложение - ASP.NET?

Если вы хотите интегрировать с ADFS, то да, вам нужен другой вариант STS.

IdentityServer не поддерживает SAML для приложений.

Существует WIF SAML CTP.

Если вы хотите, чтобы приложение .NET обращалось напрямую к STS с помощью SAML, вы можете использовать . NET OpenSSO Fedlet (или OpenAM).

person rbrayb    schedule 19.12.2012
comment
Мы также хотим пройти аутентификацию в хранилищах LDS и SQL. ADFS поддерживает только атрибуты из этого хранилища. Итак, мы подумали, что STS (custom) должен выполнять аутентификацию (ошибаемся ли мы в этом решении) - person Deeptechtons; 20.12.2012
comment
Нет, ты прав. Вам нужен собственный STS, например. IdentityServer. Но IdentityServer не поддерживает SAML. И тогда вам не нужен ADFS? - person rbrayb; 20.12.2012
comment
Нам точно нужен ADFS. Но теперь из разговора я понял, что STS также требуется (например, StarterSTS, IdentityServer). Спасибо, что прояснили это. Кстати, знаете ли вы какие-либо другие проекты, кроме IdentityServer, для использования с ADFS 2.0 (бесплатно и с открытым исходным кодом) - person Deeptechtons; 21.12.2012
comment
Есть несколько, например, OpenAM, Shibboleth и т. Д. См .: en.wikipedia.org/wiki/SAML- based_products_and_services. Однако имейте в виду, что конфигурация некоторых из них нетривиальна! - person rbrayb; 24.12.2012

arrow_upward
1
arrow_downward

Не уверен, что полностью понимаю ваш вопрос, но вот мой вывод:

  1. ADFS - STS. Другой тебе не нужен.
  2. ADFS поддерживает любые хранилища данных, но может аутентифицироваться только в AD. Вы можете выдавать претензии, которые хранятся в LDAP, SQL или в любом другом месте.
  3. WIF пока не поддерживает протокол SAML.

Почему вы для начала рассматриваете WIF / токены безопасности? (например, SSO, федерация и т. д.)

person Eugenio Pace    schedule 19.12.2012
comment
Насколько я понимаю, WIF поддерживает SAML 2.0. Наша служба STS построена с использованием WIF, и мы используем токены SAML для аутентификации. - person Dan Ling; 19.12.2012
comment
WIF поддерживает токены SAML2.0, а не протокол. - person Eugenio Pace; 20.12.2012
comment
@EugenioPace SSO - это долгосрочная цель и для федерации. Планируем на ближайшее время :) - person Deeptechtons; 20.12.2012
comment
Как указывали другие, вам нужна настраиваемая STS для аутентификации пользователей в других магазинах (например, SQL и т. Д.). Упомянутые варианты являются жизнеспособными. - person Eugenio Pace; 20.12.2012

arrow_upward
1
arrow_downward

Что касается вашего второго вопроса, вы всегда можете разработать собственную службу STS в .NET и добавить ее с помощью ADFS в качестве поставщика удостоверений. Как вы упомянули, вам необходимо пройти аутентификацию в магазине LDS, вы можете обратиться к ссылке, такой как приведенная ниже, которая даст вам больше информации:

http://cloudyoughtts.siadis.com/windows-azure/windows-azure-appfabric/creating-a-custom-sts-with-windows-identity-foundation

http://blogs.msdn.com/b/vbertocci/archive/2008/11/26/an-identity-provider-and-its-sts-writing-a-custom-sts-with-the-october-beta-of-the-geneva-framework.aspx

http://www.rahulsingla.com/blog/2012/05/wif-security-token-service-for-active-directory-lightweight-directory-services

person Siva Karthikeyan    schedule 20.12.2012