全て、
私はクレームベース認証について多くのことを読んでいますが、まだ少し混乱しています。特にSharePoint2010/2013だけでなく、一般的に(つまり、ASP.NET)についても、理解を深めようとしています。
さまざまな技術用語についての私の理解は次のとおりです。
WIF(Windows Identity Foundation)-IDクレームの使用やカスタムSTSの構築などに使用される.NETライブラリ(APIのセット)。
依拠当事者-クレームの「消費者」(つまり、SharePoint、ASP.NET Webサイトなど)。クレームはSTSを介して提供されます(IP-STSのみ?)。
STS(セキュリティトークンサービス)-セキュリティトークンを発行する特殊なWebサービス。2つのフレーバーがあり、一部のSTSはおそらく同時に両方のフレーバーですか?
- RP-STS(証明書利用者セキュリティトークンサービス)
- IP-STS(IDプロバイダーセキュリティトークンサービス)
信頼できるIDプロバイダー(SharePointの用語)-別名。IP-STS。
SharePoint2010/2013STS-RP-STSとしてのみ機能するWIFを使用して開発されたSharePointサービスアプリケーション。ユーザーが構成可能な多数の信頼できるIDプロバイダー(IP-STS)のプラグ可能な集約ポイントとして機能します。これらは、必要に応じてWIFを使用して手作業で作成できます。
ADFS2.0-ActiveDirectoryインスタンスに対してのみ組織を統合するために特別に設計されたWindowsの役割。WIFを使用して構築されたIP-STSエンドポイントを公開します。ADFS 2.0についての私の理解では、他のIDプロバイダーを「集約」することはできません。ローカルではない可能性があるため、SSOをサポートするためにフェデレーションする必要がある特定のADインスタンスに対して認証することができます。 。
Windows Azure ACS 2.0-構成済みのサードパーティIDプロバイダー(Microsoftアカウント、Google、Facebook、ADFS 2.0など)を統合するためのサービス。依拠当事者のように機能する他のIDプロバイダーのプラグ可能な集約ポイントとして機能します。WIFを使用して構築されたIP-STSエンドポイントを公開します。集約するIDプロバイダーは必ずしもIP-STSである必要はありませんが、ACS 2.0は、組み込みのIP-STSを使用してクレームを通じてすべてを公開します。
SharePoint 2010/2013の質問:
私の主な問題は、ADFS 2.0とSharePointについて説明している記事をいくつか見たことです。これらの記事は、組み込みのSharePoint2010/2013STSをADFS2.0に置き換えているかのように読めます。これはうまくいけば私の読書ですが、それは私の理解を混乱させました。
- あなたは実際にこれを行うことができますか?本当に必要な場合にできなかった理由はわかりませんが、SharePoint STSを無効にして、多くの手動構成を行う必要があると思いますか?
- なぜあなたはこれをしたいのですか?
2.1。AD認証はSharePointSTSによってOOTBトラステッドIDプロバイダーオプションとして既にサポートされており、代わりにADFS 2.0を使用する場合は、ブログ投稿を見たトラステッドIDプロバイダー(IP-STS)としてこれを追加できます。
2.2。ADFS 2.0の説明に基づいて、SharePoint STSに変更すると、実際には柔軟性の低いソリューションになりますか?
ステートメント:
- SharePoint STSは、ローカルADと同様に、またはローカルADの代わりにADFS 2.0 aa Trusted Identity Provider(IP-STS)を使用するように構成できます。
- Windows Azure ACS 2.0 aa信頼済みIDプロバイダー(IP-STS)を使用するようにSharePointSTSを構成できます。これにより、WIFを使用して独自のIP-STSを開発しなくても、サードパーティの認証プロバイダーをサポートすることが非常に簡単になります。
ASP.NET WIFの質問:
- 私の理解では、信頼交渉とクレーム交換を実行するには、RP-STSがIP-STSと通信する必要があります。これは正しいです?
- したがって、WIFを使用するときにクレームベースのASP.NET Webアプリケーション(証明書利用者)を構築する場合、RP-STSを開発/再利用してアプリに組み込み、IPとの信頼関係を持つように構成します- STS?そうでない場合は、WIFを使用してIP-STSから直接IDを取得できますか?
これを書くだけで頭から離れることができましたが、不正確さ/過度の単純化/完全な誤りについての助けをいただければ幸いです。
よろしく、
マイケル・テイラー