0

我使用 Windows 身份框架 (WIF) 创建了 IP-STS 和一个联合下的三个独立的依赖方。Federated Single Sing On 和 Sign Out 方案运行良好。这是作为演示准备的。

我的问题是什么?

在生产中,我必须在身份屋顶下统一 3 个不同的 Web 应用程序。目前,所有这些应用程序都有不同的身份验证和授权机制,在数据存储中为特定用户分配了不同的表集等。对于登录和注销,一切对我来说都很清楚。问题在于创建新用户。在这些情况下是否有任何一般模式。为什么我要问这个。当你在这种情况下更深入时,你会发现这并不是那么简单。对于第一个 Web 应用程序,我们有一组受支持的字段(其中大部分是来自 DB 的一些枚举),来自第二组其他的......所以,我需要从所有依赖方获得这个过程的所有数据. 如何做到这一点?一种方法是使用一组 IFRAMES 或类似的东西?此外,由于依赖于用户实体的单独应用程序中的关系表,我需要在每个应用程序中都有新用户。在我看来它非常复杂,我很好奇这种情况是否有任何众所周知的模式。我确信我不是第一个必须在一个身份管理下统一完全不同的应用程序的人。

更新:我发现这是供应管理或联合供应的一部分。我还发现它可以通过与 SAML 协议并行的 SPML 协议来实现。出于这些目的,WIF 中是否有任何协议或集成点?

问候, 拉斯特科

4

1 回答 1

0

ADFS/WIF 不支持 SPML。SPML 通常由 Identity Manager 提供,因为它是一种供应协议。ADFS 是 STS,而不是身份管理器。

WIF 不支持 SAML - ADFS 支持。

WIF 有一个 SAML CTP(预览) -宣布 SAML 2.0 协议社区技术预览的 WIF 扩展

您还可以使用其他开源产品,例如.NET Oracle OpenSSO Fedlet

更新

关于。SPML - 是的,这是可能的 - 它只是一个协议。有一个开源的 Java 库,它既是开源的,也适用于 C#,例如Softerra™ SPML2 库

您可以有一些使用 WIF 的 RP 和一些使用 SAML 的 RP - 这只是配置问题。将两者放在同一个 RP 中会很困难。

ForgeRock 生产的 OpenAM 产品兼具两者。它没有 ADFS 的声明规则语言丰富性,但工作正常。但是,配置可能很棘手。如果您拥有 Windows Server 许可证,ADFS 是免费的。

于 2013-01-13T18:10:05.203 回答