作成中の新しいアプリケーションで WIF の実験を始めたところです。これまでのところ、LocalSTS を機能させ、web.config をセットアップして、LocalSTS に対するフェデレーション認証を有効にすることができました。私の計画では、当面は LocalSTS を使用し、後でカスタム STS を実装することについて心配します。
フェデレーション認証を使用してユーザーを認証し、認証されたら、内部でさまざまなアクションを実行することを許可します。そのため、STS が認証し、アプリケーションが内部的に承認します。
これを行うには、各ユーザーの許可されたアクション (おそらく数百の固有のアクション) をアプリ データベースに保存し、ユーザーが新しいセッションを開始したときにそれらを読み取ってキャッシュする必要があります。
私が疑問に思っているのは、フェデレーション認証を使用して認証されたユーザーを、自分のデータベースに存在する一意のユーザー ID にマップする方法です。アプリケーションを使用する STS (ADFS、オープン認証など) に依存しないままにします。 ?
nameidentifier トークンは良い候補のようですが、SAML 2 ではそれが別のトークンに置き換えられることを読みました。
私はこれに完全に間違った方法でアプローチしていますか? 私は何かを逃していますか?
どんな助けでも大歓迎です。