Comments 7
ADFS вам в помощь)
У ADFS куча своих маленьких развлечений.
Хмм, ADFS — это сервис для федерации разных Identity Providers между собой, и хотя он вполне неплохо работает в контроллируемой среде — никакие linkedin\facebook\google не будут федерировать свои IdProviders с левыми серверами. Он разве умеет в чистом виде быть STS-RP и объединять что-либо кроме стандартного WS-*\SAML 2.0?
А предложенное решение (вернее Thinktecture Identity Server который выполняет роль STS-RP) — вполне может это все объединить, в итоге можно запилить вполне приличный Single Sign On experience для пользователей аутентифицированных в разных фейсбуках\гугл+\линкединах и прочей OpenId \ OAuth2 братии.
К тому же Thinktecture Identity Server куда более легковеснее ADFS, не говоря уже про то, что ADFS сути прибит намертво к AD, которая однако не бесплатная…
А предложенное решение (вернее Thinktecture Identity Server который выполняет роль STS-RP) — вполне может это все объединить, в итоге можно запилить вполне приличный Single Sign On experience для пользователей аутентифицированных в разных фейсбуках\гугл+\линкединах и прочей OpenId \ OAuth2 братии.
К тому же Thinktecture Identity Server куда более легковеснее ADFS, не говоря уже про то, что ADFS сути прибит намертво к AD, которая однако не бесплатная…
Почему вы говорите про Identity Server при этом употребляете термин авторизация? Аутентификация и авторизация — разные процессы. Если вы их смешиваете, то сами себе создаете кучу гемороя в будующем на ровном месте. В WIF эти понятия специально разведены.
Вы совершенно верно заметили, это сделанно специально. Исключительно из собственного опыта. Просто когда начинаешь рассказывать разницу между авторизацией аутентификацией и имперсонализацией, да ещё всё это разбавить делегированием, и пару раз упомянуть слова типа double hop или kerberos — то всё, хоть святых выноси. Я очень пытался сделать как можно проще, ну что бы как двери.
В целях демонстрации настраивать HTTPS необязательно. WIF прекрасно работает по HTTP (хотя отдельные Identity Providers, например ADFS, требуют HTTPS). А для подписи токенов можно использовать произвольный сертификат, главное, чтобы у STS был доступ к приватному ключу. Класть его в Trusted Root Certification Authorities не нужно.
Настройка HTTPS — это и есть часть демонтрации, я Вам честно скажу, что далеко не все, даже синьёр разработчики, не полностью понимают работу сертификатов, оссобенно когда дело касается практики. В Trusted Root — кладём для подписи токена, в IIS для транспорта.
А использовать WIF по HTTP, ну незнаю, на мой взгляд — это security issue. Буду благодарен если кинете ссылку на провайдер по http. Просто интересно, как они решают проблему безопасности.
А использовать WIF по HTTP, ну незнаю, на мой взгляд — это security issue. Буду благодарен если кинете ссылку на провайдер по http. Просто интересно, как они решают проблему безопасности.
Sign up to leave a comment.
Windows Identity Foundation — для ASP.NET MVC проектов