wif - 基于声明的身份验证-SharePoint和一般

Question

全部，

我一直在阅读很多有关基于声明的身份验证的内容，但仍然有些困惑。我试图巩固我的理解，特别是与SharePoint 2010/2013有关，但也与一般情况(即ASP.NET)有关。

我对各种技术术语的理解如下:

WIF(Windows Identity Foundation)-一个.NET库(API集)，用于使用身份声明和构建自定义STS等。

依赖方-声明的“消费者”(即SharePoint，ASP.NET网站等)。 claim 是通过STS(仅限IP-STS？)提供的。

STS(安全 token 服务)-发行安全 token 的专用Web服务。有两种口味，有些STS可能同时是两种口味？

RP-STS(依赖方安全 token 服务)

IP-STS(身份提供商安全 token 服务)

可信身份提供者(SharePoint术语)-AKA。 IP-STS。

SharePoint 2010/2013 STS-使用WIF开发的SharePoint Service应用程序，仅用作RP-STS。充当许多用户可配置的受信任身份提供程序(IP-STS)的可插入聚合点。如果需要，可以使用WIF手动构建这些文件。

ADFS 2.0-Windows角色，专门设计用于仅针对Active Directory实例联合组织。公开使用WIF构建的IP-STS端点。我对ADFS 2.0的理解是，它不允许您“聚合”其他身份提供程序-仅允许您针对可能不是您本地的特定AD实例进行身份验证，因此需要进行联合以支持SSO 。

Windows Azure ACS 2.0-一种专门用于联合任何已配置的第三方身份提供程序(即Microsoft帐户，Google，Facebook，ADFS 2.0)的服务。充当其他身份提供者的可插入聚合点，其作用有点像依赖方。公开使用WIF构建的IP-STS端点。它聚合的身份提供者不一定是IP-STS，但是ACS 2.0使用其内置的IP-STS通过Claims公开了所有内容。

SharePoint 2010/2013问题:

我的主要问题是，我看过几篇有关ADFS 2.0和SharePoint的文章，几乎读起来好像是要用ADFS 2.0取代内置的SharePoint 2010/2013 STS!希望这只是我的阅读，但它混淆了我的理解。

您可以实际执行此操作吗？我没有理由没有理由不这样做，但是我认为您需要禁用SharePoint STS并进行大量手动配置？

为什么要这样做？

2.1。 SharePoint STS已将AD身份验证作为OOTB可信身份提供程序选项支持，如果您想使用ADFS 2.0，则可以将其添加为我见过其博客文章的可信身份提供程序(IP-STS)。

2.2。根据我对ADFS 2.0的描述，将其更改为SharePoint STS确实会给您带来不太灵活的解决方案？

声明:

您可以将SharePoint STS配置为使用ADFS 2.0和受信任的身份提供程序(IP-STS)，以及使用或代替本地AD。

您可以将SharePoint STS配置为使用Windows Azure ACS 2.0和受信任的身份提供程序(IP-STS)。这将使支持第三方身份验证提供程序变得非常容易，而无需使用WIF开发自己的IP-STS。

ASP.NET WIF问题:

我的理解是，为了执行信任协商和要求交换，RP-STS必须与IP-STS对话。这样对吗？

因此，在使用WIF时构建基于声明的ASP.NET Web应用程序(依赖方)的情况下，您是否会开发/重用并将RP-STS包含在App中，并确定其与IP具有信任关系-STS？如果不能，您是否可以使用WIF从IP-STS直接获得身份？

只是写了这篇文章就可以使我不寒而栗，但是如果您对不准确/简单化/完全不实的任何帮助，我们将不胜感激!

问候，

迈克尔·泰勒

Answer 1

SP STS是RP-STS，即它没有要进行身份验证的凭据存储。这就是为什么您必须将其与IP-STS ADFS联合使用，即它会针对其域中的AD进行身份验证。

ADFS可以是RP-STS或IP-STS，例如您可能有路径-SP应用程序。 -> SP STS-> ADFS(RP)-> ADFS(IP)-> AD。

与SP联合的IP-STS不必是ADFS-它可以是支持WS-Federation协议(protocol)的任何东西，例如OpenAM，PingIdentity，Azure ACS。要点是，在链的末尾必须有一个凭据存储区以进行身份​​验证。

该凭证存储区不必是AD，例如。 ADFS-> IdentityServer-> SQL Server。

ADFS可以与许多不同的IP-STS联合。用户可以选择使用哪一个进行身份验证。

ADFS支持SAML2和WS-Fed作为联合协议(protocol)。 SP RP-STS仅支持WS-Fed。

ADFS的早期版本(即1.0)是Windows Server 2008上安装的版本。您必须下载ADFS 2.0。不幸的是，有许多博客文章使用术语ADFS但引用了ADFS 1.0。当心-ADFS 1.0是完全不同的野兽。

WIF只是一组.NET类。它不是STS。您可以转到WIF-> IP-STS或WIF-> RP-STS-> IP-STS等。

希望这回答了您的一些问题，但是如果仍然不清楚，请开除。

更新:

我所知道的唯一包含WIF的STS是ADFS和IdentityServer。上面提到的大多数都是基于Java的。

选择IFS而不是IWA的原因是，两者都针对AD进行身份验证，但只有ADFS会添加SSO和联合功能。 ADFS还提供所有基于声明的管道-SAML token 等。

联合ADFS时，您可以使用多个凭据存储进行身份验证。但是，如果您选择对ADFS实例进行身份验证，则它将使用AD存储库。安装ADFS时，它将在其域中找到AD的实例。那就是它使用的那个。