2

簡単な WCF-REST サービスを作成し、それを Azure に公開し、X.509 証明書で SSL を有効にしました。

このサービスにも認証を設定したいと思います。すべてのトラフィックが暗号化されているため、クレデンシャル ヘッダーをクリア テキストで送信することで、これを非常に簡単に解決できますが、ユーザーがシングル サインオンを利用できるように、代わりにある種のフェデレーション認証を使用することを計画しています。

この分野は比較的新しい分野ですが、すでに時代遅れのテクノロジが散らばっているように見えるため、経験の少ない人が現在のベスト プラクティスや信頼できるツールセットを見つけるのは困難です。重要な経験を持つ誰かが洞察を提供し、私たち全員に最新のジャンプスタートを提供してくれることを願っています.

フェデレーション認証のための最新の最先端のオプションは何ですか?

これを実現するテクノロジーは OpenId だけですか?

SSO の実装は難しいですか?

比較的経験が浅いが、ある程度知的な開発者は、いくつかのチュートリアルに基づいてこれを実装できますか? それとも、基盤となるテクノロジーが複雑すぎて、サードパーティの API/フレームワークがより望ましいものになっているのでしょうか? (DotNetOpenAuth など)

具体的には、Azure と WCF の場合、「Windows Azure Active Directory アクセス制御」は本当に必要ですか? それともハンマーでハエをたたくようなものでしょうか?

4

1 に答える 1

6

認証、承認、ID フェデレーションは非常に複雑なテーマであり、軽視すべきではありません。セキュリティが大きくて複雑な問題である理由は、それを正すのが非常に難しいからです!

インターネット ID とセキュリティの経験が豊富でない場合は、独自の認証メカニズムを作成しようとしないでください。認証メカニズムを正しく安全に実装することは非常に困難です。

たとえば、上記のシナリオでは、HTTP ヘッダーで渡す資格情報が、提示するサイトごとに匿名化され、一定期間後に期限切れになり、再生できないようにすることを考慮していません。 、悪意のある第三者によって合成できないことなど。

既存の認証メカニズムとサポート フレームワークを使用することを強くお勧めします。実際、あなたは Azure ユーザーなので、エンド ユーザー ID フェデレーションをサイトに追加する最も簡単な方法は、Windows Azure モバイル サービスの新しい認証機能を使用することです。

ID と ID フェデレーションについてさらに詳しく知りたい場合は、使用する適切な種類の認証を選択する前に、この主題について調査することをお勧めします。

A Guide to Claims-Based Identity and Access Control (2nd Edition) から始めます。これにより、この主題を十分に理解して適切な決定を下すために必要な背景と知識のほとんどが得られます。

この件について十分に理解したら、Vittorio Bertocci がhttp://cloudidentity.comに書いたすべての記事を読むことをお勧めします。

HTH。

于 2013-04-26T19:18:08.513 に答える