authentication - 在 Web 单点登录中针对客户端 Active Directory 进行身份验证

Question

我已经为这个问题绞尽脑汁一个多星期了。我们有一个 Web 应用程序想要为其实现 SSO。使用我们客户的 Windows 事件目录进行 SSO(即我们本质上需要针对客户的事件目录进行身份验证，而不需要太多麻烦)

我 100% 确定的唯一一件事是，我需要一个必须与身份提供商进行通信的安全 token 服务。我的问题:

• 哪种服务最适合上述场景(AD FS？OpenID 和 OAuth 2.0？SAML 2.0 和 shibboleth？)
• 我将如何连接到客户端的事件目录？也许我不明白STS是如何使用的，有人能澄清一下吗？我正在使用 Azure Web 应用
• 每个客户端都必须有不同的 IdP 吗？客户是否需要做的不仅仅是向我们提供标准信息？这些信息是什么？

...我应该使用 Windows Identity Foundation 吗？

帮助:( ...这是一个 SOS

如果有人能澄清，我将永远感激不已。我通常会对我认为有用的任何内容进行投票，并接受最好的答案，因此请随意回答您认为可能有助于帮助我了解如何实现我所追求的目标的答案。

Answer 1

这是我所知道的三个选项:

正如您提到的一个选项是ADFS，此解决方案意味着您的客户应该安装并公开 Adfs。 ADFS 表示 Active Directory 联合服务，因此在这种情况下，您的应用程序需要使用 WS-Fed(而不是 oauth)。通常，如果用户位于 LAN 内，adfs 会使用集成身份验证，否则会提示凭据。

WAAD 是 Azure 的一项新服务，它允许公司公开其目录以在云应用程序中使用。通过这种方法，您的客户需要在 Azure 中拥有帐户、创建目录并使用目录同步代理。您的应用程序将与 WAAD 对话 SAMLP。

Auth0 是一个身份验证代理，允许开发人员使用社交身份提供商，也可以使用 AD 等企业身份提供商，还可以使用 google apps、waad、adfs、salesforce 等。如果您的客户只有 AD，您将提供他是一个 Windows 服务的 msi，它将把公司 AD 与您的 auth0 帐户桥接起来，您可以拥有任意数量的 AD。您的应用程序使用 Auth0 进行 oauth 对话。该代理还支持 kerberos 身份验证。下图解释了此解决方案:

免责声明:我为 Auth0 工作。