asp.net - 单点登录 WinForms 应用程序和 asp.net Web 应用程序

Question

我被指派寻找一种在我们的产品中实现 SSO 的方法。我们有几个 Winform 应用程序和一个 asp.net 4.0 Web 应用程序(不是 MVC)。

所有产品均使用.Net 4.0构建，Web应用程序是ASP.NET 4.0。一些 Winform 通过 Web 服务 (asmx) 与我们的 API 进行通信，一些则直接使用我们的 API。 Web 应用程序也使用相同的 API。我们提供一组 Web 服务 (asmx)，它们对外部客户端使用相同的 API。

目前，我们的系统中有自己的身份验证实现(用户、密码、角色)，我们希望用 SSO 替换它。或者这两种身份验证机制可以以某种方式共存吗？ Winforms 用于 Intranet，Web 应用程序也用于 Intranet，我们还为客户端托管 Web 应用程序(可从 Internet 访问)。

用户是在我们的系统中创建的，但同时我们使用我们自己的工具从 Active Directory 导入用户。 Active Directory 确实是主要的用户源。

我已阅读有关 Windows Identity Foundation 的内容，我想知道是否可以使用它来实现 SSO。但我不明白的是当他们直接使用API​​时如何在winform应用程序中使用WIF。

我想要实现的是从我们的系统中删除所有用户管理并使用 Active Directory 作为用户源。我想这意味着使用 ADFS 2.0 来创建声明等。

我可以在此实现中使用 .Net Framework 4.5(我知道 WIF 现在是 .Net Framework 4.5 中的一等公民)。

您对如何做到这一点有什么建议吗？ WIF 是跨 winforms 应用程序和 Web 应用程序实现 SSO 的最佳替代方案吗？

Answer 1

有一种方法可以从 WinForms 应用程序中获取 WIF 身份验证 cookie。

为此，您只需托管 WebBrowser 控件并将其指向 Web 应用程序的登录页面即可。假设 Web 应用程序与 ADFS2 联合，Web 浏览器控件将自动遵循流程 - 它将重定向到 ADFS 并在那里停止以显示用户凭据提示(表单例份验证模式下的 ADFS2)或仅使用 NTLM/Kerberos 进行身份验证( Windows 身份验证模式下的 ADFS2)。然后网络浏览器将重定向回您的应用程序。

这是您 Hook 代码的地方。您只需向 Web 浏览器的导航事件添加一个处理程序，然后在 ADFS2.0 对用户进行身份验证后检查它何时返回到您的应用程序。然后，您可以在 WinForms 应用程序中调用 InternetGetCookie 方法来获取应用程序发出的所有身份验证 Cookie，并且您可以关闭承载 Web 浏览器的窗口。

此时，您已拥有 WIF(SessionAuthenticationModule)为您的应用程序颁发的所有身份验证 Cookie。您现在可以调用您的应用程序 Web 服务并将 cookie 注入(inject)到 http 调用中。 Web 服务器将正确地将用户识别为经过身份验证的用户，这意味着您所要做的就是向您的 Web 服务添加适当的授权(您的 Web 方法上的 PrincipalPermission 应该这样做)。

另一种方法是从 Web 应用程序公开 WCF 服务，并使用 WS-Federation 主动身份验证来保护它们。这种方法的缺点是(在我看来)，如果您的身份提供商 (ADFS) 进一步与另一个不一定实现 WS-Trust/WS-Federation 的身份提供商联合，那么主动身份验证可能会失败(因为另一个身份提供商)身份提供者没有实现它)，而被动场景仍然有效(一堆重定向迟早会以一个页面结束，该页面要求用户提供凭据，但连续身份提供者之间的身份验证协议(protocol)流并不重要)。