与日内瓦框架的自定义主张以及如何“同步”用户whitin her hyp
https://stackoverflow.com/questions/1880228
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
也许这个问题强调了我对索赔身份管理的了解很少,但是这里进行了。
如果在使用第三方STS的应用程序中使用WIF并使用自定义索赔进行授权(与Cancreatefoobar这样的应用程序)使用自定义索赔
1)如何管理用户?即,可以识别出AD或其他会员提供商的用户,但是在我的系统中,我需要了解它们,并且拥有更多与身份无关的用户信息(因此,Woulndt确实有意义地拥有此信息可用在系统外),有关用户的信息应持续存在,
问题是如何以智能的方式管理和创建系统数据(从ID开始)?
我心中的确切情况是将新员工添加到公司中,Sys Admin为域名创建了具有特定角色的域用户,我的系统如何知道这一事实? (我可能希望该系统提示系统管理员进行操作
2)存储这些用户的索赔值在哪里,我该如何修改它们?理想情况下,我希望能够更改特定用户和操作的循环。有什么指导方针吗?
我可以看到这些可能是非常la脚的问题,但是当我考虑如何解决问题时,我提出了过度复杂的解决方案或需要大量重复的解决方案(即在两个地方创建使用),所以我确定我是我只是不以正确的方式考虑这个问题
谢谢
解决方案
1)您不管理用户,不是真的。您只需采用IclaimSidentity,并将其用作您授权的来源。我认为,如果您可以在不这样做的情况下摆脱索赔,您不应坚持索赔 - 索赔应该是您的用户信息的来源。
如果您想建立索赔,请从索赔身份中获取独特的参考,例如电子邮件地址或ppid/signing键OU哈希,并使用它来构建自己的数据库,并添加您自己的信息。
但是,您的系统将永远不会摆脱第三方身份元容器的变化 - 直到您的申请中发布并解析了新的SAML令牌。
2)索赔值无处可存储,除非您存储它们。您如何将其转化为权限取决于您 - 但通常您执行索赔转换以采取外部索赔并将其映射到您用于权限的应用程序内部的索赔。由于索赔来自外部提供商,因此您无法更改它们 - 您与这些提供者无关。
其他提示
如您所见,联邦不一定减轻了供应的需求。这是一个重要的见解,并不明显。
有多种解决此问题的方法包括:
- 使用元或虚拟目录产品或
- 通过使用“ JIT供应”(又称“动态供应”或“即时配置”)。
让我解释一下后者。这个解决方案, 我也在博客上描述, ,包括两个STS,一个IP-STS和一个RP-STS。第一个仅对用户进行身份验证;第二个是特定于您的应用程序的,并且知道授权该系统用户的必要索赔。 IP-STS无法发布这些特定于应用程序的属性,这样做将要求您的公司目录服务与各种特定于应用程序的信息混乱。取而代之的是,对于该商店中维护并由IP-STS发行的用户的属性本质上是一般的,并且不管他们使用的应用程序如何,都适用于用户。在对IP-STS进行身份验证并从中获得仅身份的主张后,令牌将传递给RP-STS。该令牌服务与您的应用程序紧密结合。它知道索赔用户需要访问不同资源的声明。它可以将仅身份索赔转换为做出此访问控制决定所需的索赔。因此,RP-STS是一种索赔变压器,可将与身份相关的说明映射到特定于APP的权限。
RP-STS如何配置用户?假设创建了一个新员工,如上所述。当用户访问您的应用程序时,他将被弹跳到RP-STS。他不会在那里登录,因此他会被IP-ST弹跳。系统管理员为他创建了一个帐户,因此他将能够登录,他的浏览器会将他弹回RP-STS。 RP-STS将破解令牌,获取用户ID(电子邮件,PPID等),并看到它不知道用户是谁。因此,RP-STS将提供用户。例如,它将通过显示网页来做到这一点。它可能会收集信息,以帮助它在访问RP时确定该用户的作用。此后,将对用户进行配置(即,将在其包含他的索赔值的数据库中创建记录),RP-STS将向您的应用程序发出代币,并将其重定向回到那里。该申请不知道他刚刚得到了供应;它只会像往常一样使用索赔。 (看看为什么我称其为JIT供应?)
如果在用户提供后情况会发生变化,该怎么办?好的。想象一下:用户是很久以前在目录商店中创建的,并如上所述在RP-STS中进行了配置,他很长一段时间愉快地使用该系统。然后有一个策略更改,要求您的应用程序用户接受新的条款和条件(T&C)。下次用户登录到该应用程序时,他将被重定向到RP-STS,将其重定向到IP-STS,他将进行身份验证,并弹回您的RP-STS。到那时,它将注意到用户必须接受新的T&C,因此它将向用户显示一个网页并获得他们的协议。之后,RP-STS将发布安全令牌,并将其重定向到您的应用程序。您的应用一如既往地处理索赔,并尽其所能授权访问。它不会知道,也不会关心用户只是“重新提供的”。另外,您可以使用ILM(或现在称为FIM)等产品之间的身份存储(即,您的公司目录)和您的RP-STS的索赔存储之间保持同步。取决于您的系统,这样可以更合适的后频道同步的产品。
顺便说一句,这些不是“ la脚”问题!有一些非常敏锐的问题反映了对一个非常复杂的问题的深刻思考和聪明的反思。您需要回答的其他人包括:
- 应用程序的管理员如何更新其策略(例如,更改T&C)?您必须创建什么UI/API? UI是否与用于管理IP-STS策略的ui集成?
- 必须存在什么样的信任关系才能使这样的系统起作用?
- 如果主题不使用被动配置文件怎么办?如果他使用主动配置文件和/或没有UI怎么办?
- 钥匙如何位置?使用这些钥匙需要什么权限?他们如何进行修订,分发,以及SYS Admins即将到期时如何发出警报?
在用户组会议和会议上,这些东西真的很容易演示,但实际上这是非常高级的东西。如果您还有其他疑问,请随时在这里发布它们或 直接与我联系.
