2

更笼统地说,谁在 Windows 平台上成功使用了 WIF/ADFS/SSO,是否值得实施,它成为持久技术的可能性有多大?

从表面上看,通过阅读有关该主题的一些白皮书 (PDF)文章书籍,这似乎是一个完美的解决方案——尤其是对于拥有内部网站的公司而言,该网站向外部用户和合作伙伴公开了某种程度的功能,例如好(或计划在未来)。但这听起来几乎太完美了。而且我掌握的大部分信息都来自微软自己。

我想我的具体问题是:

  • 这是一项持久的技术并且值得投资(特别是对于规模较小(<50 人)的公司)?
  • 有没有大公司在积极使用它?
  • 如果我们希望其他人作为受信任的发行人为其公司提供身份验证,合作伙伴愿意设置 STS 的可能性有多大?这里会有很多反击吗?
  • 这最终会成为配置的噩梦吗?
  • 在决定是否实施这一点时,是否还有其他需要注意的陷阱?
4

2 回答 2

5

随着越来越多的应用程序迁移到云和在线服务,您将看到 ADFS 和其他联合身份技术的使用量增加。由于拥有成本低,对 Active Directory 进行投资的组织可能会转向此解决方案。

这是一项持久的技术并且值得投资(特别是对于规模较小(<50 人)的公司)?

  • 如果您计划向其他公司提供托管服务或计划自己利用它们,ADFS 提供了一种相当轻松的方式来利用您当前的安全基础架构。
  • 如果实施得当,用另一个联合产品替换联邦产品应该是相当简单的。

有没有大公司在积极使用它?

  • 我只熟悉我工作过的一个政府组织,但我相信还有其他的。联合身份的性质使得很难从外部识别谁。

如果我们希望其他人作为受信任的发行人为其公司提供身份验证,合作伙伴愿意设置 STS 的可能性有多大?这里会有很多反击吗?这最终会成为配置的噩梦吗?

  • 配置是 ADFS 中最困难的部分。但是,一旦您建立了信任关系并创建了策略,配置就会放手。
  • 其他公司要么拥有支持 ADFS 的基础架构,要么没有。甚至 .NET 应用程序也需要更改配置以支持 ADFS,并且更有可能需要更改代码以完全支持联合身份模型。如果您的合作伙伴有此设置,他们很可能会很乐意信任您的 STS。
  • 询问您的合作伙伴有什么,他们今天可能已经拥有或正在规划基础设施。

在决定是否实施这一点时,是否还有其他需要注意的陷阱?

  • 我遇到的最困难的问题是改变应用程序开发人员的做法。
  • 应用程序需要围绕联邦进行设计,或者需要对其进行改造。
  • 如果不注销所有 ADFS 应用程序,则无法注销 ADFS 应用程序。
  • 当联合会话到期时,您必须将用户发送回联合服务以获取新票证。如果处理不当,这可能会导致发布数据丢失。
于 2011-04-04T22:18:14.470 回答
2

根据我的经验:

结合 WIF,ADFS 提供:

  • ASP.NET 应用程序的标准“外包”身份验证/授权。应用程序识别声明后,您可以在 ADFS / ACS 端进行更改,并且应用程序不会更改。

  • 为非 .NET 解决方案提供联合设施,例如 OpenSSO 和 Tivoli。

  • 允许(通过 ACS)使用现有的登录信息,例如 Facebook / Google。

  • 为应用程序迁移到云 (Azure) 提供了潜力。

  • Sharepoint 2010 的标准声明感知功能。

我看到的实施主要是针对试图实施某种整体 I&AM 的大型公司。当公司同时拥有 .Net 和 Java 应用程序时,它特别有用。

同样在新西兰,我们有一个 igovt 登录,它为所有政府部门提供一个登录,这可能是“使用现有登录”而不是创建公司特定登录的候选者。igovt 可以与 ADFS 联合。

我的经验中的主要缺陷是它不适用于经典的 ASP。它必须是 ASP.NET。

要回答您的其他问题:

  • 希望允许外部访问其应用程序的大型公司宁愿实施 STS,也不愿在其身份存储库中提供外部用户。

  • 配置并非微不足道,但肯定不会成为一场噩梦。

于 2011-03-31T19:44:38.680 回答