Аутентифицировать пользователя веб-сервиса через ADFS

Question

Я надеялся, что кто-то может подтвердить мое понимание (или его отсутствие!) ADFS относительно WCF.

Я даже нарисовал симпатичную диаграмму.

"Боб" используетвеб-приложение, которое размещено на доменах Клиента.Клиент аутентифицирует Боба через AD.Однако веб-приложение использует службу WCF, разработанную и размещенную на Поставщике.

Между Клиентом и Поставщиком установлено доверие.

Мой вопрос - когда веб-приложение использует Службу WCFЯ хотел бы, чтобы служба WCF повторно аутентифицировала «Боба», и тогда служба WCF может использовать утверждения, возвращенные сервером ADFS, который находится на клиенте.

Правильно ли это изображение?

Answer 1

Почти. Переместите стрелки между веб-службой и ADFS (IP-STS), чтобы они находились между веб-приложением и ADFS. Затем «Боб», который он отправит веб-службе, является токеном, подписанным ADFS и содержащим утверждения о Бобе. Веб-служба проверит эту подпись, и, если она совпадет, заявки будут считаться заслуживающими доверия.

Как правило, для кросс-организационных вариантов использования, подобных этому, поставщик также имеет STS (RP-STS). Будет установлено доверие между СС. Тогда локальные приложения (например, веб-приложение и служба на этом чертеже) должны доверять только своим локальным STS. Это позволяет избежать полностью связного графа доверительных отношений.

НТН!