Авторизация приложений в доверенной среде WIF третьей стороны

Question

All

Меня немного смущают некоторые концепции Windows Intentity Foundation и общее архитектурное соответствие сторонней "доверенной" среды в отношении авторизации. Я думаю, что, возможно, что-то пропустил, но я не понимаю, как это будет работать в реальном мире.

Например, у нас есть несколько систем за порталом. Клиенты могут получить доступ к порталу и, основываясь на своих разрешениях, они могут получить доступ к функциям каждого отдельного приложения. В текущем сценарии у нас может быть один шаг аутентификации (идентификатор пользователя / пароль), который передает авторизованный идентификатор / принципал (против пользовательского хранилища аутентификации) каждому приложению. Затем приложение использует эту предварительно аутентифицированную личность для поиска своих собственных ролей, чтобы предоставить пользователям доступ к определенным функциям.

Все это управляется внутренне - то есть каждое приложение понимает свои роли, поэтому у каждого приложения есть своя функция администратора, которая сопоставляет пользователя с ролью.

Хорошо, так что это работает, но управлять им сложно, и наш клиент должен помнить идентификатор и пароль пользователя нашего портала.

Я бы хотел перейти в доверенную среду, чтобы мы доверяли токену из их STS, а аутентификация была скрыта. Однако я просто не могу понять, как будет работать авторизация - мы просим, ​​чтобы каждая третья сторона внедрила роли в своих STS для передачи вместе с токеном. Мы перенесли администратора к ним, что может в любом случае нарушить их модели безопасности.

Таким образом, мы не можем делегировать им авторизацию, и нам по-прежнему необходимо управлять сопоставлением доверенного токена с ролями, необходимыми приложению.

Таким образом, большое преимущество доверенной STS, благодаря которой пользователь A покидает доверенную компанию 123, а пользователь B присоединяется, чтобы вступить во владение, и им не нужно ждать, пока мы внесем какие-либо изменения ..... просто не практично в реальном мире.

Какой позор, мне действительно нравится эта идея.

Я пропустил что-то фундаментальное?

Answer 1

Чтобы ответить на свой вопрос, я поговорил об этом с архитектором Microsoft, и он в целом согласился.Вы можете создавать правила для сопоставления сторонних данных со свойствами, которые нужны вашему приложению, но если третье лицо не готово изменить свои системы (например, Active Directory), то вы застряли.

Таким образом, у ИМО есть шанстретьей стороны, согласившейся добавить новые свойства в свой домен AD для поддержки вашего приложения, минимальна, это оставляет довольно большую дыру в духе, лежащем в основе WIF и доверенного STS.