사용자 지정 요구 제네바 프레임워크 및 방법""동기화는 사용자틴 앱

Question

어쩌면 이 질문에라도 알고 청구에 대해 신원 관리,하지만 여기 간다.

를 사용하는 경우 WIF 응용 프로그램 내에서 사용하는 제삼자에 STS 에 대한 정체성과 사용하는 사용자 정의 클레임에 대한 승인(가 적절하고 specificto 응용 프로그램을 다음과 같 CanCreateFooBar)

1)나는 어떻게 관리하는 사용자가?즉,사용자가 말할 광고 또는 다른 회원에 공급자 식별할 수 있지만,내부에 내가 필요한 시스템에 대해 알아들고 더 많은 사용자 정보는 것과는 아무 상관이 정체성(그 woulndt 정말 이해가 이 정보를 사용할 수 있는 외부 시스템),그리고 그 사용자에 대한 정보를 저장해야만,
문제는 어떻게 관리할 수 있습니하고 만들기 시스템 내 데이터(시작으로 Ids)에서 스마트 방법은?
정확한 시나리오 내가 내 마음에 새로운 직원이 추가되,회사에 sys 관리자를 만듭에 대한 사용자 도메인으로 특정 역할을 수있는 방법,시스템 becoem 이 사실을 인식?(나는 아마 다음과 같은 시스템 관리자 프롬프트의 시스템에 대한 작업

2)어디에 있는 주장 값들에 대한 사용자 역할을 저장하는 방법을 변경할 수 있을까?최고 싶을 변경할 수 있 perimissions 에 대한 특정 사용자와 작업입니다.은 거기에 어떤 지침서에서 이?

나는 볼 수 있습니는 이들은 아마 사람은 누구나 자신이 좋아 질문을 하지만 생각할 때 나는에 대해 문제를 해결하는 방법을 내가 가지고 올해 복잡한 솔루션과 함께 또는 솔루션을 요구하는 많은 duplicaiton(ie 만들기에 사용되는 두 가지 장소)so I m I m 만 생각하지 않고 이것에 대해 올바른 방법으로 문제를 해결하

감사

Answer 1

1) 실제로 사용자를 관리하지 않습니다. 당신은 단순히 iclaimsidentity를 취하고 그것을 당신의 승인의 출처로 사용합니다. 내 생각에, 당신은 당신이 그것을하지 않고 도망 갈 수 있다면 주장을 지속해서는 안됩니다 - 청구는 사용자 정보의 출처 여야합니다.

클레임을 기반으로하려면 클레임 신원에서 고유 한 참조 (이메일 주소 또는 PPID/서명 키 OU 해시를 사용하여 자신의 데이터베이스를 구축하고 자신의 정보를 추가하는 데 사용하십시오.

그러나 귀하의 시스템은 신청서에서 새로운 SAML 토큰이 발행되고 구문 분석 될 때까지 제 3 자 신원 대사의 변화를 절대하지 않을 것입니다.

2) 청구 값은 저장하지 않는 한 아무데도 저장됩니다. 이를 권한으로 번역하는 방법은 귀하에게 달려 있지만 일반적으로 외부 클레임을 취하고 권한에 사용하는 응용 프로그램 내부의 청구에 따라 청구 변환을 수행합니다. 클레임은 외부 제공 업체로부터 나오기 때문에 변경할 수 없으므로 해당 제공 업체와 관련이 없습니다.

Answer 2

당신이보고,페더레이션하지 않는 반드시 필요를 완화를 위한 프로비저닝을 실행합니다.이것은 중요한 통찰력하지 않는 즉시 분명하다.

하는 방법에는 여러 가지가 있는 주소를 포함하여 이것:

1. 의 사용 또는 메타 가상 제품 또는 디렉토리
2. 를 사용하여"JIT 프로비전"(일명"동적 구축"또는"on-the-fly 구축").

을 설명해 보겠습니다.이 솔루션 는 또한 설명에 나 블로그, 두 Sts,IP STS 및 RP-STS.첫 번째는 전적으로 인증하고 사용자;두 번째는 특정 응용 프로그램을 알고 무엇을 주장하는 데 필요한 권한을 부여하는 사용자의 시스템입니다.IP-STS 수 없어 문제는 이러한 응용 프로그램-특정 특성이 그렇게 필요한 것이 회사 디렉토리의 서비스가 복잡하는 모든 종류의 응용 프로그램별로 정리되어 있습니다.대신,속성에 대한 사용자는 유지하는 저장하고 발행하여 IP-STS 은 일반적인 특성과 적용에 관계 없이 사용자는 응용 프로그램을 사용할 수 있는 지를 확인합니다.인증 후 IP-STS 얻 id-클레임만,그것에서는 토큰에 전달됩 RP-STS.이 서비스가 정상적으로 작동이 단단히 결합된 응용 프로그램입니다.그것이 무엇을 알고 주장하는 사용자에 액세스해야 하는 다른 자원입니다.그것으로 변환할 수 있는 id-만 주장하는 것이 필요하이 접근 제한 결정입니다.그래서,RP-STS 는 클레임을 변압기 매핑하는 신원 관련 클레임으로 응용 프로그램-특정한 것들입니다.

어떻게 RP-STS 제공 사용자가?가 새로운 직원이 만들어로서의 예이다.할 때 사용자에 액세스 응용 프로그램으로,그는 것을 반송하 RP-STS.그가 기록 되지 않습에있다,그래서 그는 것을 차단하는 IP-STS.Sys 관리자 계정을 만들어 그를 위해,그래서 그는 로그인 할 수 있고,자신의 브라우저를 반송하에 그를 다시 RP-STS.RP-STS 균열됩니다 토큰을 얻을,이용자 ID(이메일,PPID,etc.), 시지 않는 것을 알고 사용자가 누구입니다.그래서,RP-STS 이 제공 사용자.그것은 이렇게 표시하여 웹 페이지에 대한 예입니다.수도 있습한 정보를 수집하는 데 도움이 그것의 역할을 결정하는 사용자에 액세스할 때 RP.이 후,사용자 프로비저닝(즉,레코드에서 생성됩니다 그 데이터베이스에 포함된 청구에 대한 값 그게)RP-STS 것입니다 문제는 토큰으로 특정 응용 프로그램 및 리디렉션 그를 다시입니다.응용 프로그램을 알 수 없는 그는 프로비저닝;그것은 단지 사용한 클레임으로 항상 않습니다.(왜 나는 그것 JIT 프로비저닝?)

어떤 경우는 것을 변경한 후에 사용자 프로비저닝?확인.상상해 보세요.사용자가 만든 디렉토리에 저장 전 연령대되었으로 마련된 프로 위에서 설명 RP-STS 및 그 시스템을 사용하는 행복에 대한 오랜 시간입니다.다음의 정책 변경을 필요로 하는 응용 프로그램의 사용자가를 받아 새로운 조항 및 조건(T&Cs).다음에 사용자가 로그 응용 프로그램에는 리디렉션할 수 RP-STS,IP-STS,그는 인증하고 다시 반송하 RP-STS.그 시점에서,그것은 것을 알 수 있는 사용자를 허용해야 합니다 새로운 T&Cs,그래서이 사용자가 웹 페이지의 계약입니다.그 후,RP-STS 것입니다 문제는 토큰 보안와 리디렉션 그를 포함하고 있습니다.의 것으로,항상,손잡이의 주장과 그것은 무엇을 할 필요가 대한 액세스 권한을 부여.그것은 알 수 없지 않을 것이 관리하는 사용자가 다만"다시 구축됩니다." 또는,당신은 유지할 수 있는 변경에 동기화 사이에 정체성을 저장(즉,당신의 기업 directory)와 RP-STS 의 주소를 사용하여 제품과 같은 ILM(또는 FIM 로 그것은 지금이라고).시스템에 따라,제품이 채널이 동기화를 다음과 같이는 것이 더 적절할 수 있습니다.

BTW,이들은"절"니다.거기에는 매우 예리한 질문을 반영하는 깊은 생각이고 지능적인에 반영한 매우 복잡한 문제입니다.다른 사람에 응답해야 합 포함한다:

• 는 어떻게 관리자는 응용 프로그램의 업데이트한 정책을(예를 들어,변경 T&Cs)?What UI/API 해 만들어야 할까요?은 UI 를 통합과 함께 사용을 관리하는 IP-STS 의 정책은 무엇입니까?
• 어떤 종류의 신뢰 관계를 존재해야 합니다 이러한 시스템 작동합니까?
• 어떤 경우에는 제목을 사용하지 않는 수동 프로필?어떤 경우에는 그 사용하여 활성 프로파일 그리고/또는 없 UI?
• 어떻게 그리고 어디 키에 있습니까?어떤 권한이 필요한 사람들을 사용하는 키?그들은 어떻게 reved,배포,그리고 어떻게템 관리자에 경고 할 때 그들을 만료됩니까?

이 물건은 정말 간단하는 데에 사용자 그룹의 회의와 컨퍼런스에서,그러나 현실에서 그것은 매우 고급 물건입니다.는 경우 다른 질문이 있을 여기에서 또는 연락 w/나에게 직접.