Децентрализованная аутентификация в домене Windows

Question

Существует множество решений для сторонней децентрализованной аутентификации, которые довольно просто настроить: войти в систему с учетными данными Facebook, OpenID, OAuth и т. Д.

Как я могу сделать нечто подобное внутри брандмауэра вДоменная среда Windows?

Сценарий:

• Веб-приложение Python внутри брандмауэра, размещенное на сервере Linux.
• Пользователи имеют рабочие столы Windows и проходят проверку подлинности в Windowsдомен

Я знаю, что могу проверить имя пользователя / пароль в Active Directory с использованием LDAP, но это не то, что я хочу.Я не хочу, чтобы мое приложение обрабатывало имя пользователя / пароль вообще.Я хочу, чтобы он работал так же, как OpenID, т.е. мое приложение перенаправляет пользователя на какую-то веб-страницу поставщика удостоверений Windows.

Существует ли для этого готовое решение для Windows / IIS?

РЕДАКТИРОВАНИЕ:

• Может ли Windows Identity Foundation быть тем, что я ищу?Или, может быть, WIF имеет строительные блоки?

Answer 1

С риском дать слишком много ответов, мне кажется, что ADFS 2.0 - ваш путь наименьшего сопротивления.Что касается интеграции доступа на основе утверждений в ваше приложение Python, я видел pysaml2 , рекомендуемый как способ сделать это, но я не могу говорить по опыту.

Answer 2

Я не Windows, но Crowd от Atlassian:

• Будет работать в Windows
• Может аутентифицироваться в Active Directory
• Включает поставщика OpenID

Так что, если ваше приложение может обрабатывать OpenID, у вас будет все, что вам нужно.

Answer 3

WIF вместе с Azure ACS обеспечат это сразу.например, Добавление пользовательского поставщика OpenID в ACS… с ТОЛЬКО ОДНОЙ ЛИНИЕЙ кода PowerShell .

Или вы можете интегрироваться с Dot Net Open Auth либо с вашим собственным STS, либоиспользуя что-то вроде Identity Server .