Основа идентификации Windows только для внутренних приложений/сайтов?

Я провел довольно много времени, глядя на Windows Identity Foundation. Я даже прочитал несколько глав книги об этом в MSDN.

Но меня все еще смущает одна вещь. Подходит ли WIF для аутентификации общедоступного веб-сайта или он в основном предназначен для intranets/sharepoint сайтов, что-то, что имеет дело с внутренним доменом, где пользователи идентифицируются integrated windows auth/active directory или что-то в этом роде. В настоящее время у нашей компании есть много веб-сайтов, на которых люди входят в систему и проходят аутентификацию в хранилище данных с использованием forms authentication/custom asp.net membership provider. Можно ли заменить этот механизм на WIF? если да, то есть ли у кого-нибудь ссылка на такой учебник.

Я пытался найти любую информацию в этом направлении, но ее было трудно найти.


c# asp.net webforms wif
person Alex J    schedule 10.10.2011    source источник

Ответы (2)


arrow_upward
4
arrow_downward

В принципе, в Windows Identity Foundation нет ничего, что делало бы его неприемлемым для использования на «общедоступном» веб-сайте, и WIF сам по себе также не привязан к конкретному механизму проверки подлинности. Однако, если вы рассматриваете возможность использования федеративных служб Active Directory в качестве поставщика удостоверений, проблема будет заключаться в том, что аутентификация пользователей в AD будет единственным вариантом, поскольку это все, что он поддерживает (хотя вы можете подключить настраиваемое хранилище атрибутов, которое извлекает значения утверждений из некоторых другое хранилище данных). Ваша проверяющая сторона WIF (т. е. ваш веб-сайт) не обязательно заботится о том, как пользователь был аутентифицирован, но только о том, что он был аутентифицирован IDP, которому он доверяет.

Таким образом, ваша проблема может заключаться не в том, чтобы «подключить WIF» к веб-сайтам как таковым, а в том, чтобы найти совместимого IDP, который поддерживает аутентификацию с помощью чего-то другого, кроме Active Directory, чтобы вы могли использовать хранилище данных, которое вы в настоящее время используете для аутентифицировать пользователей. Можно использовать ADFS в качестве «моста» (сервер маркеров безопасности проверяющей стороны) между проверяющей стороной WIF и провайдером идентификации SAML2, например Shibboleth, который может использовать базу данных для аутентификации пользователей, но настройка такой системы является серьезной проблемой, поэтому вам придется взвесить преимущества, которые ваши пользователи могут получить от единого входа в ваши приложения по сравнению с Потребуются значительные усилия для создания и обслуживания такой системы.

person Steve Rowbotham    schedule 10.10.2011
comment
Итак, WIF в основном используется в сочетании с AD? - person Alex J; 11.10.2011
comment
Как я упоминал в своем ответе, не существует технического барьера, мешающего вам разработать систему, которая позволяет пользователям проходить аутентификацию в хранилище учетных данных, отличном от AD, но поскольку Microsoft предоставляет полнофункциональную IDP-STS в ADFS который будет аутентифицироваться только в AD, то это, возможно, самый простой и, следовательно, наиболее распространенный путь. Другие варианты требуют больше усилий или затрат, поскольку вы можете либо создать свою собственную STS, либо использовать дополнительный IDP, такой как Shibboleth, и подключиться к нему, либо инвестировать в сторонний коммерческий вариант, такой как PingFederate (о котором я, честно говоря, ничего не знаю). - person Steve Rowbotham; 11.10.2011

arrow_upward
1
arrow_downward

Да — WIF подходит для проверки подлинности общедоступного веб-сайта. ADFS версии 2.0 выполняет аутентификацию только в AD. Однако вы можете написать собственную STS, которая аутентифицирует что угодно. В вашем случае с хранилищем данных взгляните на Identity Server, который выполняет аутентификацию в базе данных SQL.

Посмотри на:

person rbrayb    schedule 10.10.2011