10

全て、

私はクレームベース認証について多くのことを読んでいますが、まだ少し混乱しています。特にSharePoint2010/2013だけでなく、一般的に(つまり、ASP.NET)についても、理解を深めようとしています。

さまざまな技術用語についての私の理解は次のとおりです。

  • WIF(Windows Identity Foundation)-IDクレームの使用やカスタムSTSの構築などに使用される.NETライブラリ(APIのセット)。

  • 依拠当事者-クレームの「消費者」(つまり、SharePoint、ASP.NET Webサイトなど)。クレームはSTSを介して提供されます(IP-STSのみ?)。

  • STS(セキュリティトークンサービス)-セキュリティトークンを発行する特殊なWebサービス。2つのフレーバーがあり、一部のSTSはおそらく同時に両方のフレーバーですか?

    • RP-STS(証明書利用者セキュリティトークンサービス)
    • IP-STS(IDプロバイダーセキュリティトークンサービス)

  • 信頼できるIDプロバイダー(SharePointの用語)-別名。IP-STS。

  • SharePoint2010/2013STS-RP-STSとしてのみ機能するWIFを使用して開発されたSharePointサービスアプリケーション。ユーザーが構成可能な多数の信頼できるIDプロバイダー(IP-STS)のプラグ可能な集約ポイントとして機能します。これらは、必要に応じてWIFを使用して手作業で作成できます。

  • ADFS2.0-ActiveDirectoryインスタンスに対してのみ組織を統合するために特別に設計されたWindowsの役割。WIFを使用して構築されたIP-STSエンドポイントを公開します。ADFS 2.0についての私の理解では、他のIDプロバイダーを「集約」することはできません。ローカルではない可能性があるため、SSOをサポートするためにフェデレーションする必要がある特定のADインスタンスに対して認証することができます。 。

  • Windows Azure ACS 2.0-構成済みのサードパーティIDプロバイダー(Microsoftアカウント、Google、Facebook、ADFS 2.0など)を統合するためのサービス。依拠当事者のように機能する他のIDプロバイダーのプラグ可能な集約ポイントとして機能します。WIFを使用して構築されたIP-STSエンドポイントを公開します。集約するIDプロバイダーは必ずしもIP-STSである必要はありませんが、ACS 2.0は、組み込みのIP-STSを使用してクレームを通じてすべてを公開します。

SharePoint 2010/2013の質問:

私の主な問題は、ADFS 2.0とSharePointについて説明している記事をいくつか見たことです。これらの記事は、組み込みのSharePoint2010/2013STSをADFS2.0に置き換えているかのように読めます。これはうまくいけば私の読書ですが、それは私の理解を混乱させました。

  1. あなたは実際にこれを行うことができますか?本当に必要な場合にできなかった理由はわかりませんが、SharePoint STSを無効にして、多くの手動構成を行う必要があると思いますか?
  2. なぜあなたはこれをしたいのですか?

2.1。AD認証はSharePointSTSによってOOTBトラステッドIDプロバイダーオプションとして既にサポートされており、代わりにADFS 2.0を使用する場合は、ブログ投稿を見たトラステッドIDプロバイダー(IP-STS)としてこれを追加できます。

2.2。ADFS 2.0の説明に基づいて、SharePoint STSに変更すると、実際には柔軟性の低いソリューションになりますか?

ステートメント:

  • SharePoint STSは、ローカルADと同様に、またはローカルADの代わりにADFS 2.0 aa Trusted Identity Provider(IP-STS)を使用するように構成できます。
  • Windows Azure ACS 2.0 aa信頼済みIDプロバイダー(IP-STS)を使用するようにSharePointSTSを構成できます。これにより、WIFを使用して独自のIP-STSを開発しなくても、サードパーティの認証プロバイダーをサポートすることが非常に簡単になります。

ASP.NET WIFの質問:

  1. 私の理解では、信頼交渉とクレーム交換を実行するには、RP-STSがIP-STSと通信する必要があります。これは正しいです?
  2. したがって、WIFを使用するときにクレームベースのASP.NET Webアプリケーション(証明書利用者)を構築する場合、RP-STSを開発/再利用してアプリに組み込み、IPとの信頼関係を持つように構成します- STS?そうでない場合は、WIFを使用してIP-STSから直接IDを取得できますか?

これを書くだけで頭から離れることができましたが、不正確さ/過度の単純化/完全な誤りについての助けをいただければ幸いです。

よろしく、

マイケル・テイラー

4

1 に答える 1

7

SP STS は RP-STS です。つまり、認証する資格情報ストアがありません。そのため、IP-STS である ADFS とフェデレートする必要があります。つまり、ドメイン内の AD に対して認証を行います。

ADFS は、RP-STS または IP-STS のいずれかにすることができます。たとえば、パス - SP アプリを指定できます。-> SP STS -> ADFS (RP) -> ADFS (IP) -> AD。

SP とフェデレートする IP-STS は ADFS である必要はありません。OpenAM、PingIdentity、Azure ACS など、WS-Federation プロトコルをサポートするものであれば何でもかまいません。要点は、チェーンの最後に、認証する資格証明ストアが必要だということです。

この資格情報ストアは、ADFS -> IdentityServer -> SQL Server など、AD である必要はありません。

ADFS は、さまざまな IP-STS とフェデレーションできます。ユーザーは、認証に使用するものを選択できます。

ADFS は、フェデレーション プロトコルとして SAML2 と WS-Fed の両方をサポートします。SP RP-STS は、WS-Fed のみをサポートします。

ADFS の以前のバージョン (つまり 1.0) は、Windows Server 2008 にインストールされているバージョンです。ADFS 2.0 をダウンロードする必要があります。残念ながら、ADFS という用語を使用しているが、ADFS 1.0 を参照しているブログ投稿が多数あります。注意 - ADFS 1.0 はまったく別の獣です。

WIF は、単なる .NET クラスのセットです。STS ではありません。WIF -> IP-STS または WIF -> RP-STS -> IP-STS などに移動できます。

うまくいけば、これはあなたの質問のいくつかに答えますが、何かまだ明確でない場合はすぐに解決してください.

アップデート:

私が知っている WIF を組み込んだ STS は、ADFS と IdentityServer だけです。上記のほとんどは Java ベースです。

IWA ではなく ADFS を選択する理由は、どちらも AD に対して認証しますが、SSO とフェデレーション機能を追加するのは ADFS だけだからです。また、ADFS はすべてのクレームベースの配管 (SAML トークンなど) を提供します。

ADFS をフェデレーションすると、複数の資格情報ストアに対して認証する機能が提供されます。ただし、ADFS のインスタンスに対して認証することを選択した場合は、AD リポジトリが使用されます。ADFS をインストールすると、そのドメインで AD のインスタンスが検出されます。それはそれが使用するものです。

于 2013-01-10T18:27:14.507 に答える