1

新しいサービスレイヤーとなるWCFプロジェクトに取り組んでいます。

これらのサービスは、2つの別々のクライアントによって呼び出されます。最初のクライアントはWPFアプリケーションで、もう1つはASP.NetWebアプリケーションです。WPFクライアントは内部ユーザーによって実行され、ドメイン認証を介してサービスで認証され、そのユーザーのコンテキストで実行されます。もう1つは外部ユーザーによって使用され、別のメカニズムを使用して認証してから、ドメインの「WebUser」アカウントになりすます必要があります。

Windows Identity Foundationについて少し読んでいますが、これが適しているようです。ドメイン認証用とASP.Netメンバーシップ認証(または同様の同等のもの)のようなものの2つのトークンサービスを使用して、各クライアントに関連するSTSからトークンを取得させてWCFに渡すことができると思いますか?サービス?

ドメイン認証にすぐに使用できるSTSがあると想定していますが、Webユーザーを認証するために2番目のSTSを自分で実装する必要がありますか?私はこれに関する多くの情報を見つけることができません。

私は正しい方向に向かって考えていますか、それともそれぞれ異なる認証メカニズムを使用してサービスごとに決闘エンドポイントを作成する必要がありますか?それとも私は完全に異なることをするべきですか?

ありがとう

4

2 に答える 2

2

実際にこのシナリオを処理できるため、 IDサーバーを確認する必要があります。

上記のプロジェクトを率いる人は、この正確なシナリオに関する素晴らしい複数のサイトのビデオを持っています!それを見るにはサインアップする必要がありますが、無料トライアルを提供しています。

基本的に、IDプロバイダーからトークンを取得します(内部クライアント用のWindows ADFS、および外部ユーザー用に決定したもの)。このトークンをフェデレーションゲートウェイ(おそらくIDサーバーですが、Azure ACSの場合もあります)に渡します。これにより、サービスで使用できる認証トークンが返されます。

于 2013-01-15T09:45:59.103 に答える
2

クレームベース認証/WIF を使用する大きな利点は、ユーザー認証のタスクとユーザー プロパティの管理の両方が、アプリケーションから STS/ID プロバイダーに移動されることです。

あなたはサービス層を開発していますが、WIF を使用する真の利点は、その層の上に書かれたアプリケーションにあります。WPF アプリケーションは、AD に接続してユーザーのグループをフェッチして、ユーザーに許可されている操作を把握する必要がなくなります。グループは、ユーザー/WIF が提供するトークンのクレームとして既に表示されます。

Web アプリケーション (1 つまたは複数の Web アプリケーションですか?) は、ユーザー管理を伴う ASP.Net メンバーシップ データベースを必要としなくなります。この機能は STS に移動されます。

費用がかかります。(どういうわけか常にあります...) クレームベース認証には、かなり急な学習曲線があります。関係者全員の四半期が減少するまでにはしばらく時間がかかります。

したがって、あなたの質問に対する答えは、サービス レイヤー上に構築された Web アプリケーションのユーザーの種類とその数によって異なります。そして、彼らが彼らについてどれだけ知りたいか。Google / Facebook / Windows Live の認証を信頼できますか? ユーザーはドメイン内の既存のデータベースに既に存在しますか? ユーザーディレクトリを維持するのにどれくらいの作業が必要ですか? マーケティング担当者は、定期的にメールを送信したいと考えていますか? など。

これはおそらく、サービス層の開発者だけが決定することではなく、組織の他のメンバーと話し合うべきことです。

メリットがそれほど大きくない場合、別の方法として、単純にこれらの責任を Web アプリケーションのサーバーに任せることができます。各 Web アプリケーションには古き良き ASP.Net メンバーシップ データベースがあり、それ自体でユーザーを認証します。サービス層からクエリを要求すると、Web サーバー証明書が提示され、さらにユーザーの名前とタイプが指定されます。

利点が十分に大きい場合は、原則として ADFS 2.0 をすべてに使用できます。最近では外部ユーザーを保存することもでき、既に Active Directory をお持ちの場合は無料です。または、Ross が推奨する ThinkTecture 2.0 サーバーです。カスタマイズが容易であり、システム管理者やセキュリティ担当者は、ADFS サーバーに対してファイアウォールを開くことにあまり熱心ではないでしょう。

Microsoft はWIF、特にOverview of Claims-Based Architectureについていくつかの良い読み物を持っています。

于 2013-01-19T22:58:51.350 に答える