Кто-нибудь действительно использует службы федерации Active Directory?Стоит ли инвестировать в эту технологию?

Question

В целом, кто успешно использует WIF / ADFS / SSO на платформе Windows и стоит ли его внедрять, и какова вероятность того, что это будет долговременная технология?

На первый взгляд, прочитав несколько статей (PDF) , статей и книг по этому вопросу, это кажется идеальным решением, особенно для компании, у которой есть внутренний веб-сайт, который предоставляет некоторый уровень функциональности внешним пользователям и партнерам (или планирует в будущем). Но это звучит почти слишком идеально. И большая часть информации, которую я имею, поступает от самих Microsoft.

Я предполагаю, что мои конкретные вопросы:

• Является ли это долговременной технологией и стоит ли инвестировать в нее (и особенно для компании меньшего размера (<50 чел.))? </li>
• Есть ли крупные компании, которые активно используют это?
• Насколько вероятно, что партнер захочет установить STS, если мы хотим, чтобы кто-то другой предоставил аутентификацию для своей компании в качестве доверенного эмитента? Будет ли здесь много отталкивания?
• Это закончится тем, что станет кошмаром конфигурации?
• Есть ли другие ловушки, на которые следует обратить внимание при принятии решения о реализации этого?

Answer 1

По мере того, как все больше приложений перемещается в облачную среду и в онлайн-службы, вы увидите, что использование ADFS и других технологий федеративной идентификации расширяется.Организации с инвестициями в Active Directory, скорее всего, перейдут на это решение из-за низкой стоимости владения.

Является ли это долговременной технологией и стоит ли вкладывать средства (и в частности, для небольшой компании (<50 чел.))? </p>

• Если вы планируете предоставлять размещенные услуги другим компаниям или сами планируете воспользоваться ими, ADFS предоставляет довольно безболезненный способ воспользоваться преимуществами вашей текущей инфраструктуры безопасности.
• При правильном внедрении заменить продукт федерации на продукт федерации должно быть довольно просто.

Существуют ли какие-либо крупные компании, активно использующие этот продукт?

• Я знаком только с правительственной организацией, над которой я работал, но я уверен, что есть и другие.Характер федеративной идентификации затрудняет внешнюю идентификацию того, кто.

Насколько вероятно, что партнер захочет установить STS, если мы хотим, чтобы кто-то другой предоставил аутентификацию для своей компании в качестве довереннойэмитент?Будет ли здесь много отталкивания?Будет ли это в конечном итоге кошмаром конфигурации?

• Конфигурация - самая сложная часть ADFS.Однако, как только вы создадите доверительные отношения и создадите политики, конфигурация будет принята вручную.
• Другие компании либо будут иметь инфраструктуру для поддержки ADFS, либо не будут.Даже приложениям .NET требуются изменения конфигурации для поддержки ADFS, и, скорее всего, потребуется изменение кода для полной поддержки модели федеративной идентификации.Если ваши партнеры имеют это на своем месте, вероятно, они с радостью будут доверять вашей STS.
• Спросите у своих партнеров, что у них уже есть, они могут уже иметь или планируют инфраструктуру сегодня.

Есть ли какие-либо другие подводные камни, на которые следует обратить внимание при принятии решения об их реализации?

• Самой сложной проблемой, с которой я столкнулся, было изменение практики разработчиков приложений.
• Приложения должны быть либо спроектированы с учетом федерации, либо должны быть модифицированы с ним.
• Невозможно выйти из приложения ADFS без выхода из всех приложений ADFS.
• Когда срок действия федеративного сеанса истекает, вы должны отправить пользователя обратно в службу федерации для получения нового билета.Это может привести к потере почтовых данных, если не обрабатывается должным образом.

Answer 2

Из моего опыта:

В сочетании с WIF ADFS предлагает:

• Стандартная аутсорсинговая аутентификация / авторизация для приложений ASP.NET. Как только приложения узнают о претензиях, вы можете вносить изменения на стороне ADFS / ACS, и приложение не меняется.

• Предоставляет средства федерации с решениями не .NET, например OpenSSO и Tivoli.

• Позволяет (через ACS) использовать существующие логины, например, Facebook / Google.

• Обеспечивает возможность перехода приложений в облако (Azure).

• Стандартные функции учета претензий для Sharepoint 2010.

Реализации, которые я видел, в основном предназначены для крупных компаний, пытающихся внедрить какой-то общий I & AM. Это особенно полезно, когда в компаниях установлены приложения .Net и Java.

Также в Новой Зеландии у нас есть логин igovt, который предоставляет один логин всем правительственным департаментам, и это возможный кандидат на «использование существующего логина», а не на создание конкретной компании. igovt может объединяться с ADFS.

Основной недостаток моего опыта заключается в том, что он не работает для классического ASP. Это должен быть ASP.NET.

Чтобы ответить на другие ваши вопросы:

• Более крупные компании, которые хотят разрешить внешний доступ к своим приложениям, предпочли бы внедрить STS, чем предоставлять внешних пользователей в своем хранилище идентификаторов.

• Конфигурация не тривиальна, но, конечно, не станет кошмаром.