Активная проверка подлинности Windows Identity Foundation

Question

Возможно, я все делаю неправильно, но я бы хотел взять нашу аутентификацию ASP.NET Forms на основе ролей и перенести ее на WIF, чтобы поддерживать федерацию с другими приложениями.

Я знаюэто широкий вопрос, но как я могу выполнить проверку подлинности с помощью WIF?Это даже правильный вопрос или я что-то неправильно понимаю?Все примеры, которые я видел, включают AD и STS.Мы даже не хотим начинать хостинг сервера STS, а просто структурируем код в модели, основанной на утверждениях, чтобы мы могли продолжить федеративную безопасность в будущем.

Есть предложения?

Answer 1

В архитектуре на основе утверждений вы, как правило, больше не несете ответственности за проверку подлинности пользователей. Поэтому у вас больше нет пользователей / паролей, но вы все равно можете сохранять свои роли.

Я бы посоветовал прочитать первые пару глав (на самом деле, довольно коротких) этого руководства

(предостережения и раскрытия: это руководство MSFT, хотя вы работаете на этой платформе, а я один из авторов)

Кстати: «Активная аутентификация» (хотя и не совсем корректный термин) в основном относится к веб-сервисам. «Пассивными клиентами» обычно являются веб-сайты (ваш случай).

Answer 2

В случае единого входа для проверки подлинности на основе утверждений есть некоторые преимущества наличия ролей: если пользователь проходит проверку подлинности для доступа к Приложению 1 и Приложению 2, но не к Приложению 3, это мы можем получить из ролей, поскольку мы можем указать это.