WIF, STS и членские таблицы

Question

В настоящее время я изучаю возможность использования WIF для предстоящего проекта и буду признательна за помощь в поиске информации.Я немного осмотрелся и не нашел решающего ответа.

У меня есть текущий сайт, на котором не работает членство в ASP, и в этих таблицах много пользователей.

• Существуют ли какие-либо доверенные пользовательские службы STS, использующие таблицу членства?
• Может ли мой текущий сайт, использующий членство в ASP, потребовать значительных изменений для использования WIF и STS?
• Нужно ли использовать сертификат при использовании WIF?
• В чем разница между реализацией ADFS и членства в ASP?
• Есть ли у них какие-либо более простые решения на основе MS для SSO изтам?

Спасибо за любую помощь, которую вы можете предоставить.

Answer 1

• Взгляните на IdentityServer для пользовательской службы STS, которая использует поставщика членства SQL Server. (Обновление: страница проекта изменена на http://thinktecture.github.io/Thinktecture.IdentityServer.v2/ Код перемещен на https://github.com/thinktecture/Thinktecture.IdentityServer.v2)

• Большинство изменений в вашем текущем сайте будут связаны с конфигурацией, включая библиотеку Windows Identity Foundation (WIF). Поскольку модель идентификации в WIF основана на модели идентификации ASP.NET, не должно быть значительных изменений в коде, если вы не делаете что-то сильно настроенное с принципалом пользователя.

• Как минимум, вам понадобятся два сертификата. Во-первых, вам понадобится сертификат SSL для вашего сайта, поскольку конечной точкой AD FS должна быть HTTPS. Вам также понадобится сертификат подписи в AD FS и на вашем веб-сервере, который будет использоваться для проверки токена, который доставляет AD FS. При желании вы можете зашифровать маркер безопасности, для чего потребуется другой сертификат.

• AD FS использует доменные службы ActiveDirectory (AD DS) для проверки подлинности. Так как это STS, нет никакого сравнения между ним и поставщиком членства ASP.NET. Посмотрите эту статью для полного объяснения аутентификации на основе утверждений.

• Если вы ищете более простое решение SSO, есть варианты. Я бы посмотрел вокруг, так как вы найдете несколько решений .NET. Я не могу говорить ни с кем конкретно, так как это зависит от ваших требований.

Надеюсь, это поможет.

Answer 2

Взгляните на: Начало работы с Windows Identity Foundation .

@ Гаррет суммировал это довольно хорошо.

Я полагаю, ваше приложение ASP.NET?

Просто добавьте, что для вашего второго вопроса (касающегося изменений), для аутентификации, не так много изменений, помимо конфигурации, включая WIF.

Однако для авторизации вы теперь получите все атрибуты, которые вам необходимы, в виде утверждений. Это может быть нетривиальным изменением в зависимости от того, как вы в настоящее время получаете доступ к этим атрибутам.

Для ADFS эти атрибуты могут быть получены из AD, LDAP, SQL Server или с помощью настраиваемого поставщика утверждений.