Windows Identity Foundation — сторонний сервер токенов безопасности
-
13-09-2019 - |
Вопрос
Я пытаюсь разобраться во всей магии фонда идентификации Windows, основанной на утверждениях.
Предполагая, что я не хочу использовать ADFS, мне неясно, лучше ли создать собственную STS с использованием WIF для выполнения части тяжелой работы или положиться на третью сторону.
А если сторонний вариант - какие там сторонние СТС?
Решение
Конечно, все зависит от того, где находится ваша аутентификационная информация.Если вы не используете AD, а используете что-то другое, то поставщик должен предоставить STS.
Если все, что вам нужно, это что-то, управляемое базой данных, то их несколько, и это зависит от того, какая платформа разработки вам больше всего нравится, когда вы придете к ее настройке.
Если вы используете .NET, вы можете использовать СтартерСТС в качестве отправной точки (без каламбура).
Другие советы
Safewhere*Определить — это сторонний STS, построенный на WIF, но поддерживающий дополнительные протоколы и имеющий более подключаемую архитектуру, чем ADSF2.
Полное раскрытие: Я работаю в Safewhere и активно участвую как в проектировании, так и в разработке продукта.
Вам следует никогда сверните свой собственный STS (если вы можете этого избежать).Создание STS, подходящего для демонстрации для разработчиков, является тривиальной задачей, но создание STS мирового класса корпоративного уровня — задача непростая.Помимо ADFS и STS Safewhere (о которых упомянул Марк), следующие продукты включают STS (или они говорят, что поддерживают WS-Trust, что подразумевает это):
- Менеджер доступа Novell
- Проверка подлинности PingFederate
- Symlabs Federated Identity Suite
- OpenSSO
- Вордел
- Шибалет
- Redhat JBoss Identity (альфа)
- Oracle Identity Federation (мне неясно, поддерживает ли этот продукт WS-Trust, но я был бы удивлен, если бы это было не так.)
Кроме того, платформа Java Metro похожа на WCF + WIF.В нем есть все необходимое для создания STS, чего делать не следует;Однако если вы оцените эти продукты и обнаружите, что они не удовлетворяют ваши потребности, единственным вариантом будет создание собственного.
Трэвис,
Многие из перечисленных вами продуктов знакомы мне по сфере IdM.Особенно Novell и Oracle... но большинство из них представляют собой либо целый стек, либо части пакета.И всем им потребуются хранилище удостоверений и службы аутентификации, верно?
Например, чтобы использовать Novell, Oracle или Ping, вам все равно потребуется реализовать каталог или какое-либо другое хранилище пользователей, каким-то образом аутентифицировать пользователей (например, IWA или страницу входа в систему с использованием службы, предоставляемой продуктом), а затем объединить этого пользователя. к RP на базе WIF, верно?
Как бы вы предложили сравнить эти предложения с самостоятельной реализацией ADFS?
Причина, по которой я спрашиваю...
Мы уже создали базовую структуру и набор продуктов на основе претензий, используя WIF для обработки этих претензий.Сейчас мы рассматриваем возможность развертывания ADFS в качестве STS и хотим сначала сделать шаг назад и подумать, есть ли способ ускорить реальное развертывание рабочей среды.До сих пор мы использовали starterSTS...
Нам необходимо поддерживать несколько вариантов аутентификации:1) IWA в RP с использованием нашего внутреннего AD для пользователей внутри нашего предприятия. 2) предоставить пользователям нашего клиента возможность войти в систему, используя пользователей, которыми мы владеем и контролируем их в качестве IDP (при условии, что для них создан новый каталог, отдельный от нашего внутреннего AD), и 3) внешние IDP, где наши клиенты аутентифицируют пользователей и объединяются с нами.
Вариант 2 — это то, для чего нам нужна служба аутентификации... поэтому, поскольку мы не можем обойтись без 100% федеративного единого входа с внешними IDP, любой сторонний вариант должен включать службы аутентификации.
Я бегло просмотрел сайт Safewhere и не нашел никаких полезных подробностей об альтернативе STS, работающей с WIF.Я вижу некоторые продукты федерации и продукт WAM... что именно они предлагают в качестве STS?
Спасибо за любой ваш вклад.