4

Web アプリケーションとサービス用に STS-IP サーバーを実装する必要があります。サーバーは、次のシナリオで SAML トークンを発行する必要があります。

  1. ビジネス パートナーは、アプリケーションに必要なクレームを含む SAML トークンに変換される SAML トークンを送信します。このトークンは、当社の Web アプリケーションおよびサービスにアクセスするために使用されます。
  2. 私たちの公開アプリケーションは、(フォーム認証を介して) ユーザーがサインインし、SAML トークンを使用して Web アプリケーションとサービスにアクセスする必要があります。
  3. クライアント (STS 信頼なし) は、STS-IP サーバーで認証し、SAML トークンを取得し、そのトークンを使用して WCF サービスにアクセスする必要があります。

3 つのシナリオすべてで、アプリケーションとサービスが使用する SAML トークンにカスタム クレームが必要です。ユーザーを特定したら、バックエンド システムでそのユーザーの承認を検索し、クレームを添付します。

これらのシナリオでは、バックエンド認証ストアは、認証が Active Directory に格納され、承認がデータベースに格納されるカスタム実装であると想定できます。

そこで、Windows Identity Framework などを使用してカスタム STS-IP サーバーを作成する必要があると考えました。しかし、時間がかかる可能性があるため、これを行うべきではないことも読んでいます。

市販の STS-IP サーバーを使用できますか? 私が見たものはすべて、あるシステムから別のシステムへのマッピング (SAML から SAML または AD から SAML) です。

プロダクション対応の STS-IP を構築するのに「長い時間がかかる」のはなぜですか? WIF を使用して非常に簡単に作成しましたが、これを行うリスクを理解していないと思います。

4

5 に答える 5

1

独自のSTSを作成する前に、このブログを確認して、STSで必要になる可能性のある機能を詳しく確認することをお勧めします。自分で作成できるからといって、必ずしもそうする必要があるとは限りません。

adfsを複数のIDストアと属性ストアに拡張する

于 2012-05-29T22:08:18.107 に答える
1

ADFS の使用を検討していないのはなぜですか? 認証のバッキング ストアが AD である場合、ADFS はおそらく評価に適した候補です。

于 2010-07-30T22:01:50.310 に答える
1

「時間がかかる」という点では、これを行う方法を示すドキュメントは非常に貧弱です。ここを参照してください: http://social.msdn.microsoft.com/Forums/en-US/Geneva/thread/257d93be-165e-45a6-a277-fc7ed2286e7d/

いずれにせよ、Microsoft が提供するコード サンプルに目を通すだけで済みます。Google for Identity Developer Training Kit です。それはあなたが始めるのに役立つはずです。

于 2010-07-27T21:11:09.480 に答える
0

@eugenioに同意します-ADFSを使用しないのはなぜですか?

ADFS は前述のように AD に対してのみ認証できますが、AD / LDAP / SQL サーバーから認証属性を取得できます

STS のナットとボルトは、VS 2010 と識別ツール キットで利用できます。シンプルな STS は、すぐにプロトタイプを作成できます。

利用可能ないくつかの例があります。StarterSTS はすでに言及されており、さらにSelfSTS もあります。

特にこれが本番システムの一部である場合は、セキュリティを適切に設定することが難しい部分です。「Steve on Security」に従って、独自のディレクトリ フェデレーション サービスを構築します

このシステムを開発して安全に動作させるのは同期だと思うように聞こえるかもしれませんが、実際には、ネットワーク、従業員、およびデータを保護するために、多くのことを行う必要があります。関わる。アプリケーションを安全に開発することは困難です。唯一の責任がセキュリティ関連である安全なアプリケーションを開発することは、はるかに困難です。

これが、インターネット上のすべてのサンプルに太字の免責事項がある理由です。

本番環境では使用しないでください

于 2011-03-07T21:18:27.737 に答える
0

彼らが「そうしない理由」は比較的単純です: 1 日で既製の STS を導入できるのに、おそらく 1 つのユースケースしか処理できないものを構築するのに数週間かかるのはなぜでしょうか。一緒に?それを自分で構築するには、SAML の専門家になる必要もあります (これはおそらく、あなたの会社の時代の最高の私たちではありません)。

チェックアウト -- http://www.pingidentity.com/our-solutions/pingfederate.cfm

幸運を祈ります -- イアン

于 2010-07-30T14:12:24.413 に答える