1

私は最近ここで質問をしました:WIFを使用するいくつかのeコマースWebサイトの.NET WebファームにSSOを実装しますか? それは私の次の質問の背後にある詳細を概説しています。

質問/ソリューションの簡単な要約は、SSOソリューションを必要とする一連のWebサイトは、カスタムSTSを備えたWIFを使用して実装し、ある種のSQLMembershipProviderに対してユーザーを検証できることです。このシステムの図を作成する際に、別の問題が発生しました。

Webファーム内のWebサーバーのアイデアの背後にある目的は、Webサイトの単一障害点(SPOF)を排除して、より信頼性の高いサービスを提供することです。同様の戦略は、データベースサーバーと電子メールサーバーについて十分に文書化されています。カスタムSTSとWIFを使用して、既存の高可用性環境に単一障害点を導入することなくSSOソリューションを実装することは可能ですか?このSPOFを削除するには、どのような追加の手順/戦略を実装する必要がありますか?

多かれ少なかれ質問は次のとおりです。

  • カスタムSTSを負荷分散環境に配置できますか?
  • WIFを(Azureなどのサードパーティの実装を使用せずに)負荷分散された環境に配置できますか?
  • これを達成するために対処する必要がある特定の技術的問題は何ですか(またはWebサーバーと同じ方法で実行できますか)?
  • これはまったく良い考えですか?いくつかの潜在的な問題は何ですか?

私はオンラインでかなりの調査を行いましたが、この質問に対する完全な答えを見つけることができません。私はまだクレームベースの認証とフェデレーションIDに慣れていないので、曖昧または鈍感な場合は許してください。

丸い穴に四角いペグをはめ込もうとしていますか?

説明が必要な場合はお知らせください。

4

2 に答える 2

1
  • カスタムSTSを負荷分散環境に配置できますか?

カスタムSTSをWebファームに展開できない理由はありません。パッシブフェデレーションエンドポイントは、認証が必要なときにWIF依存側がリダイレクトするWebサイトです。したがって、STSWebサイトの複数のインスタンスをWebファームに展開するだけです。

  • WIFを(Azureなどのサードパーティの実装を使用せずに)負荷分散された環境に配置できますか?

nzpcmadが述べたように、負荷分散された環境では、証明書利用者のアプリケーション間でマシンキーを同期する必要があります。SAMLトークンはマシンキーを使用して暗号化されるため、アプリケーションは同じキーを使用してトークンを復号化する必要があります。

  • これを達成するために対処する必要がある特定の技術的問題は何ですか(またはWebサーバーと同じ方法で実行できますか)?

他の応答を参照してください。

  • これはまったく良い考えですか?いくつかの潜在的な問題は何ですか?

はい、高可用性と冗長性は非常に良い考えです。ADFSには、Webファームで作業するための組み込み機能がありますが、カスタムSTSの場合は、STSの構成がサーバー間で一貫していることを確認する必要があります。可能であれば、構成をデータベースに保存することをお勧めします。

于 2011-10-11T13:04:00.343 に答える
1

•カスタムSTSを負荷分散環境に配置できますか?

はい-「スティッキーセッション」が必要な場合もありますが

•WIFを(Azureなどのサードパーティの実装を使用せずに)負荷分散された環境に配置できますか?

WIFは、VSプロジェクトで参照として追加される.NETクラスのセットにすぎません。これにより、アプリケーションでクレームを有効にすることができます。WIFを「単独で」デプロイすることはできません。クレーム対応アプリケーションをデプロイします。

•これを達成するために対処する必要がある特定の技術的問題は何ですか(またはWebサーバーと同じ方法で実行できますか)。

サーバーファームを使用するADFSの場合:「セカンダリフェデレーションサーバーは、プライマリフェデレーションサーバーからのAD FS構成データベースのコピーを格納しますが、これらのコピーは読み取り専用です。セカンダリフェデレーションサーバーは、データをプライマリフェデレーションサーバーに接続して同期します。定期的にポーリングしてデータが変更されたかどうかを確認することでファームを構築します。セカンダリフェデレーションサーバーは、ネットワーク環境全体のさまざまなサイトで行われるアクセス要求の負荷分散に対応しながら、プライマリフェデレーションサーバーに障害耐性を提供するために存在します。」

これのどれだけがAFDS機能であり、標準のSQL Server機能がどれくらいかわからないですか?SQL Serverを使用して、2つ以上のサーバーをサーバークラスターとして連携するように構成し、カスタムSTSが着信クライアント要求を処理するために高可用性を確保できるようにすることができます。

•これはまったく良い考えですか?いくつかの潜在的な問題は何ですか?

記憶から、私たちが遭遇した唯一の問題は「スティッキーセッション」の問題でした。

また、ADFS2.0の高可用性と高復元力のウォークスルーも参照してください。

更新:Programming WindowsIdentityFoundationをご覧ください。問題は、WIFセッションCookieがマシンキーによって保護されていることです。ヴィットリオは提案します:

  • スティッキーセッション
  • マシンキーを同期する
  • 各マシンでSSL証明書を使用する

この本には、カスタムSTSの開発に関するセクションがあります。私はそれをお勧めします。

于 2011-10-10T20:04:36.107 に答える