2

我被指派寻找在我们的产品中实施 SSO 的方法。我们有几个 Winform 应用程序和一个 asp.net 4.0 Web 应用程序(不是 MVC)。

所有产品均使用 .Net 4.0 构建,Web 应用程序为 ASP.NET 4.0。一些 Winforms 通过 Web 服务 (asmx) 与我们的 API 通信,一些直接使用我们的 API。Web 应用程序也使用相同的 API。我们为外部客户端提供一组使用相同 API 的 Web 服务 (asmx)。

目前,我们的系统中有自己的身份验证实现(用户、密码、角色),我们希望将其替换为 SSO。或者这两种身份验证机制能否以某种方式共存?Winforms 用于 Intranet,Web 应用程序用于 Intranet,我们还为客户端托管 Web 应用程序(可从 Internet 访问)。

用户是在我们的系统中创建的,但同时我们使用我们自己的工具从 Active Directory 导入用户。Active Directory 是真正的主要用户来源。

我已阅读有关 Windows Identity Foundation 的信息,我想知道是否可以使用它来实现 SSO。但是我不明白的是,当他们直接使用API​​时,如何在winform应用程序中使用WIF。

我想要实现的是从我们的系统中删除所有用户管理并使用 Active Directory 作为用户源。我想这意味着使用 ADFS 2.0 创建声明等。

我可以在这个实现中使用 .Net Framework 4.5(我知道 WIF 现在是 .Net Framework 4.5 中的一等公民)。

你有什么建议如何做到这一点?WIF 是跨 winforms 应用程序和 Web 应用程序实现 SSO 的最佳替代方案吗?

4

1 回答 1

7

有一种方法可以从 WinForms 应用程序中获取 WIF 身份验证 cookie。

为此,您只需托管WebBrowser控件并将其指向您的 Web 应用程序的登录页面。假设 Web 应用程序与 ADFS2 联合,Web 浏览器控件将自动跟随流程 - 它将重定向到 ADFS 并停在那里以显示用户凭据提示(表单身份验证模式下的 ADFS2)或仅使用 NTLM/Kerberos 进行身份验证( Windows 身份验证模式下的 ADFS2)。然后 Web 浏览器将重定向回您的应用程序。

这是您挂钩代码的地方。您只需向 Web 浏览器的导航事件添加一个处理程序,并在 ADFS2.0 对用户进行身份验证后检查它何时返回您的应用程序。然后,您可以在 WinForms 应用程序中调用该InternetGetCookie方法来获取您的应用程序发出的所有身份验证 cookie,然后您可以关闭托管 Web 浏览器的窗口。

此时,您已拥有 WIF (the SessionAuthenticationModule) 为您的应用程序发出的所有身份验证 cookie。您现在可以调用您的应用程序 Web 服务并将 cookie 注入到 http 调用中。Web 服务器将正确识别用户已通过身份验证,这意味着您所要做的就是为您的 Web 服务添加适当的授权(PrincipalPermission您的 Web 方法应该这样做)。

另一种方法是从您的 Web 应用程序中公开 WCF 服务并使用 WS-Federation 主动身份验证来保护它们。这种方法的缺点是(在我看来)如果您的身份提供者 (ADFS) 进一步与另一个不一定实现 WS-Trust/WS-Federation 的身份提供者联合,那么主动身份验证可能会失败(因为另一个身份提供者没有实现它),而被动场景仍然有效(一堆重定向很快就会以一个页面结束,该页面需要用户提供凭据,但连续身份提供者之间的身份验证协议流无关紧要)。

于 2012-11-27T12:33:56.420 回答