Что такое поставщик услуг Shibboleth, могу ли я установить его для веб-роли Windows Azure MVC3?

Question

Простите, я нуб Шибболет / SAML 2.Надеемся, что это простые вопросы.

Я недавно опубликовал вопрос о том, можем ли мы выполнить интеграцию Shib / SAML 2 с Azure ACS .Ответы привели меня к мысли, что мы не можем использовать ACS, но реализовать что-то с помощью низкоуровневых библиотек CTP-расширений WIF + SAML2.

По связанному вопросу я позвонил одному из наших партнеров, чтобы спросить, могут ли они добавить наше приложение в качестве поставщика услуг, используя свое членство в Федерации InCommon.Они спросили меня, собираемся ли мы установить поставщика услуг Shibboleth на компьютерах Azure, на которых размещена наша веб-роль MVC3.

Пока они не упомянули об этом, я понятия не имел, что существует Shibboleth Service Provider .У меня сложилось впечатление, что согласно всему, что я до сих пор читал о SAML2, наша веб-роль mvc3 является поставщиком услуг.

Итак, что такое поставщик услуг Shibboleth?Что оно делает?Какую ценность вы бы добавили, установив ее на наши экземпляры Azure?Должен ли я иметь это, чтобы SSO против Shibboleth?или мы можем просто сделать чистый saml2?

Я предпочитаю не устанавливать его, так как он должен быть установлен в каждом экземпляре роли, что увеличивает время развертывания.

Answer 1

В этом вопросе есть некоторая информация об использовании Shibboleth 2 для SSO перед вашим веб-приложением: Для того, чтобы внедрить SAML, мне нужно установить Shibboleth SP на мой хост? ; ответ - Linux / Java-центрированный.

Shibboleth SP - это продукт, который вы можете использовать перед вашим существующим веб-приложением или даже перед конкретным URL-адресом для единого входа, который вы можете добавить в свое существующее веб-приложение. Если в вашем приложении уже есть представление о пользователях, вы можете просто выяснить, как сопоставить пользовательские атрибуты провайдера идентификации с пользователями вашего приложения. Вы и ваша дочерняя компания должны придумать, что вы хотите сделать, чтобы сопоставить удостоверения от поставщика удостоверений с удостоверениями в вашем приложении. Возможно, у вас есть общие данные или вам может потребоваться настроить эти данные, когда пользователь впервые использует SSO.

Значение, которое обеспечивает Shibboleth SP, заключается в том, что это продукт, который реализует все взаимодействия SAML 2.0, которые вам, вероятно, понадобятся. Web-SSO SAML 2.0 легко настроить с помощью Shibboleth, и модуль Shibboleth добавляет переменные к HTTP-запросам, которые содержат все атрибуты в утверждениях SAML 2, которые будет отправлять вам провайдер идентификации.

Если вы можете сделать все это с помощью Azure ACS, тогда нет необходимости устанавливать Shibboleth. Мое ограниченное понимание состоит в том, что Azure ACS может уже поддерживать SAML 2.0 Web SSO: http://saml.xml.org/news/windows-azure-gains-single-sign-on-support