Windows Identity Foundation и несколько пользовательских хранилищ

Question

В последнее время я много исследовал WIF и все еще немного запутался в некоторых особенностях. Я понимаю, что если вы используете ADFS, это здорово, но это не мой сценарий. В моей организации есть как минимум 3 основные системы безопасности. Я пытался заставить компанию использовать AD для всех внутренних целей, но этого просто не произойдет. Чтобы создать унифицированную модель программирования, я подумал о создании дополнительных STS для аутентификации / авторизации.

1. Это действительно мудро? Большинство из того, что я прочитал, говорит, что просто использовать ADFS. Если нет, то не беспокойтесь. Стоит ли использовать WIF для модели унифицированных заявок, когда процесс создания пользовательских STS может быть сложным?

2. Что вы делаете в случае, если не у каждого пользователя есть логин AD для сопоставления. Например, у нас есть много сезонных сотрудников, которые фактически никогда не входят в систему с личной учетной записью. Утренний вход в систему осуществляется администратором, сотрудник просматривает свой значок и использует идентификатор сотрудника.

3. Мы создаем новое приложение, база кода которого будет доступна по крайней мере для трех разных групп пользователей. Одна группа является внутренней (с использованием AD), другие две, вероятно, будут использовать членство по умолчанию в asp.net (хорошо, поэтому два разных набора пользовательских хранилищ). Я хотел бы иметь возможность использовать WIF для унификации авторизации / аутентификации, но с WIF, похоже, нужно идти в обратном направлении. Он снимает акцент с аутентификации и просто предполагает, что все хорошо, когда во многих случаях это главная проблема. Как я могу использовать WIF в этом сценарии, если вообще?

Я пытался прочитать эту статью:

http://msdn.microsoft.com/en-us/library/ff359105.aspx

и я прочитал о StarterSTS, который мне еще нужно прочитать немного подробнее. Я также смотрел видео от автора StarterSTS. Я не могу по-настоящему собрать все воедино. Такое ощущение, что WIF не будет полезен для меня, но я чувствую, что так и должно быть, так как все, чего я действительно добиваюсь, - это единой модели аутентификации и авторизации. Спасибо

Answer 1

То, что вы хотите, похоже на модель федеративного удостоверения. Вы можете создать Federated STS (например, StarterSTS), который бы нормализовал ваши требования к вашему приложению. Затем вы можете использовать что-то вроде ACS / AD FS V2 для объединения этих поставщиков удостоверений. Чтение Руководства по идентификации на основе утверждений также является хорошим началом. Когда вы включаете приложение «Заявки», вы можете добавлять все больше и больше поставщиков удостоверений и использовать Поставщик федерации для управления утверждениями и установки правил.

Мы только что выпустили новую версию руководства по CodePlex (документы и код), пока он проходит производственный процесс.