这些是用于 Microsoft 服务单点登录的众多技术和流行语。
有人可以解释一下 ADFS、WIF、WS 联合、SAML 和 STS(安全令牌服务),包括使用它们的地点和时间。
这些是用于 Microsoft 服务单点登录的众多技术和流行语。
有人可以解释一下 ADFS、WIF、WS 联合、SAML 和 STS(安全令牌服务),包括使用它们的地点和时间。
ADFS (Active Directory Federation Services) - 由 Microsoft 生产并基于 Windows Identity Foundation (WIF) 构建的现成安全令牌服务 (STS)。依靠 AD 进行身份验证。可用于主动(SOAP Web 服务)或被动(网站)场景,并支持 SAML 令牌、WS-Federation、WS-Trust 和 SAML-Protocol。它可以用作身份提供者(针对 AD)或联合提供者。
http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx
WIF (Windows Identity Foundation) - 用于在 .NET 应用程序和依赖方中驱动基于声明的身份验证的 .NET 库。它还可以用作 WS-Trust 客户端和构建自定义 STS。
WS-Federation - 依赖方和 STS 用来协商安全令牌的协议。应用程序使用 WS Federation 从 STS 请求安全令牌,而 STS(大多数情况下)使用 WS Federation 协议将 SAML 安全令牌返回给应用程序。这通常是通过 HTTP(GET 和 POST 和重定向)。将此与完全基于 Web 服务的 WS-Trust 进行对比。
SAML 令牌(安全断言标记语言)——这只是用于安全令牌的 XML 格式,通常捕获用户信息(声明)和其他相关的安全相关数据(签名、令牌颁发者等)。应用程序使用令牌来验证用户并驱动应用程序行为(例如授权)。SAML 安全令牌经过签名以确保完整性并可选择加密,因此只有 RP 和 STS 才能看到其内容。在使用 WIF 的 ASP.NET 网站中,默认情况下令牌被加密并分块到 cookie 中,但这可以更改。
http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
STS(安全令牌服务)- 如上所述,STS 是位于依赖方应用程序和用户之间的代理。STS 是安全令牌的发行者。“发行人”通常是 STS 的同义词。STS 被配置为两个角色:当他们对用户进行身份验证时作为身份提供者(IdP),或者当他们位于信任链的中间并作为其他 IdP 的“依赖方”时作为联合提供者(FP)。IdP 需要一种对用户进行身份验证的方法。一些(如 ADFS)使用 Active Directory,另一些使用自定义数据库,如 SQL Server Membership(不是 ADFS)。如果用户正确认证,STS 将颁发一个安全令牌。
http://msdn.microsoft.com/en-us/library/ff650503.aspx
http://docs.oasis-open.org/ws-sx/ws-trust/v1.4/os/ws-trust-1.4-spec-os.html#_Toc212615442
希望这会有所帮助。在基于声明的身份验证中有很多概念和部分需要理解。要全面了解,您应该查看基于声明的身份和访问控制指南。
从大局来看:
假设一个基于 ASP.NET 浏览器的应用程序需要身份验证和授权。
应用程序可以自行推出,也可以外包。
WIF是一个 .NET 库,它允许 ASP.NET 实现这种外包。
它与STS(ADFS是 STS 的一个实例)对话,后者针对身份存储库进行身份验证并以声明的形式提供授权信息。STS 提供一组签名的、受信任的声明。
WIF 和 ADFS 之间使用的协议是WS-Federation。
如果 STS 是基于 Java 的(例如 Ping Identity 或 OpenAM),那么 WIF 将使用SAML协议进行通信。ADFS 还支持 SAML 以启用联合。
(例如,联盟允许面向 Java 的公司 A 中的用户通过针对 A 的身份存储库进行身份验证来访问面向 .NET 的公司 B 中的 ASP.NET 应用程序。公司 A 和公司 B 在联盟意义上相互信任。)
这篇文章旨在阐明在 ADFS 2.0 中支持的 SAML 令牌和在 Windows Server 2012 R2 中的 ADFS 版本 ADFS 3.0 之前不支持的 SAML 协议
1) ADFS 3.0 之前不支持 SAML 协议
2) 基于 .net 4.5 的 WIF 应用程序需要使用 WS-Fed 协议,目前不支持 SAML-Protocol
3) SAML 令牌是基于 XML 的。ADFS 2.0 和以前的版本支持 SAML 令牌。ADFS 1.0。1.1。和 2.0 仅支持 SAML 令牌,不支持协议
4)如果您使用的是 WIF,则需要 WS-Fed(协议) - 所以您可以执行以下操作:
SAML 协议 <---> ADFS <----> WS-FED <----> WIF (.net 4.5)
来自维基:
• ADFS 1.0 - Windows Server 2003 R2(额外下载)
• ADFS 1.1 - Windows Server 2008 和 Windows Server 2008 R2。
• ADFS 2.0 - Windows Server 2008 和 Windows Server 2008 R2(从 Microsoft.com 下载)
• ADFS 2.1 - Windows Server 2012。
• ADFS 3.0 - Windows Server 2012 R2。