66

これらは、Microsoftサービスでのシングルサインオンに使用される多数のテクノロジと流行語です。

ADFS、WIF、WSフェデレーション、SAML、およびSTS(セキュリティトークンサービス)について、それぞれがいつどこで使用されているかを含めて、誰かが説明できますか?

4

3 に答える 3

127

  • ADFS(Active Directoryフェデレーションサービス)-Microsoftによって作成され、Windows Identity Foundation(WIF)上に構築された既製のセキュリティトークンサービス(STS)。認証はADに依存します。アクティブ(SOAP Webサービス)またはパッシブ(Webサイト)シナリオで使用でき、SAMLトークン、WS-Federation、WS-Trust、およびSAML-Protocolをサポートします。IDプロバイダー(ADに対して)またはフェデレーションプロバイダーとして使用できます。

    http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx

  • WIF(Windows Identity Foundation)-.NETアプリケーションおよび証明書利用者でクレームベースの認証を駆動するために使用される.NETライブラリ。また、WS-Trustクライアントとして、およびカスタムSTSを構築するために使用することもできます。

    http://msdn.microsoft.com/en-us/security/aa570351

  • WS-Federation-証明書利用者とSTSがセキュリティトークンをネゴシエートするために使用するプロトコル。アプリケーションはWSフェデレーションを使用してSTSにセキュリティトークンを要求し、STSは(ほとんどの場合)WSフェデレーションプロトコルを使用してSAMLセキュリティトークンをアプリケーションに返します。これは通常、HTTP(GET、POST、およびリダイレクト)を介して行われます。これを、完全にWebサービスベースのWS-Trustと比較してください。

    http://msdn.microsoft.com/en-us/library/bb498017.aspx

  • SAMLトークン(セキュリティアサーションマークアップ言語)-これは、セキュリティトークンに使用される単純なXML形式であり、通常、ユーザー情報(クレーム)およびその他の関連するセキュリティ関連データ(署名、トークン発行者など)をキャプチャします。トークンは、アプリケーションがユーザーを認証し、アプリケーションの動作(承認など)を促進するために使用されます。SAMLセキュリティトークンは整合性のために署名され、オプションで暗号化されるため、RPとSTSのみがその内容を表示できます。WIFを使用するASP.NETWebサイトでは、トークンはデフォルトで暗号化されてCookieにチャンク化されますが、これは変更できます。

    http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language

  • STS(セキュリティトークンサービス)-上記のように、STSは、証明書利用者アプリケーションとユーザーの間に位置するブローカーです。STSはセキュリティトークンの発行者です。「発行者」は、多くの場合、STSの同義語です。STSは、2つの役割で構成されます。ユーザーを認証する場合はIDプロバイダー(IdP)として、信頼チェーンの中間に位置し、他のIdPの「依存関係者」として機能する場合はフェデレーションプロバイダー(FP)として構成されます。IdPには、ユーザーを認証する方法が必要です。一部(ADFSなど)はActive Directoryを使用し、その他はSQL Serverメンバーシップ(ADFSではない)などのカスタムデータベースを使用します。ユーザーが適切に認証すると、STSはセキュリティトークンを発行します。

    http://msdn.microsoft.com/en-us/library/ff650503.aspx

    http://docs.oasis-open.org/ws-sx/ws-trust/v1.4/os/ws-trust-1.4-spec-os.html#_Toc212615442

うまくいけば、これがお役に立てば幸いです。クレームベースの認証には、理解すべき概念や要素がたくさんあります。完全に理解するには、クレームベースのIDとアクセス制御のガイドを確認する必要があります。

于 2011-11-02T13:10:43.467 に答える
74

全体像の観点から:

認証と承認を必要とするASP.NETブラウザベースのアプリケーションを想定します。

アプリケーションは、独自にロールすることも、外部委託することもできます。

WIFは、ASP.NETがこのアウトソーシングを実装できるようにする.NETライブラリです。

これは、IDリポジトリに対して認証を行い、クレームの形式で承認情報を提供するSTSADFSはSTSのインスタンス)と通信します。STSは、署名された信頼できるクレームのセットを提供します。

WIFとADFSの間で使用されるプロトコルはWS-Federationです。

STSがJavaベース(Ping IdentityやOpenAMなど)の場合、WIFは通信にSAMLプロトコルを使用します。ADFSは、フェデレーションを有効にするためのSAMLもサポートしています。

(たとえば、フェデレーションにより、Java指向の企業Aのユーザーは、AのIDリポジトリに対して認証することにより、.NET指向の企業BのASP.NETアプリケーションにアクセスできます。企業Aと企業Bは、フェデレーションの意味で相互に信頼します。)

于 2011-11-02T18:07:25.603 に答える
4

この投稿は、ADFS 2.0でサポートされているSAMLトークンと、Windows Server2012R2のADFSのバージョンであるADFS3.0までサポートされていないSAMLプロトコルを明確にすることを目的としています。

1)SAMLプロトコルはADFS3.0より前ではサポートされていません

2).net 4.5ベースのWIFアプリケーションでは、WS-Fedプロトコルを使用する必要があり、現在SAMLプロトコルをサポートしていません。

3)SAMLトークンはXMLベースです。SAMLトークンは、ADFS2.0以前のバージョンでサポートされています。ADFS1.0。1.1。および2.0はSAMLトークンのみをサポートし、プロトコルはサポートしません

4)WIFを使用している場合は、WS-Fed(プロトコル)が必要です。そのため、次のことができます。

SAMLプロトコル<--->ADFS<----> WS-FED <----> WIF(.net 4.5)

Wikiから:

•ADFS1.0-WindowsServer 2003 R2(追加ダウンロード)

•ADFS1.1-WindowsServer2008およびWindowsServer2008R2。

•ADFS2.0-WindowsServer2008およびWindowsServer2008 R2(Microsoft.comからダウンロード)

•ADFS2.1-WindowsServer2012。

•ADFS3.0-WindowsServer2012R2。

于 2016-05-17T22:28:01.997 に答える