Проверка подлинности на основе утверждений-SharePoint и в целом
Все,
Я много читал о проверке подлинности на основе утверждений и до сих пор немного запутался. Я пытаюсь укрепить свое понимание, особенно относящееся к SharePoint 2010/2013, но и в целом (т. е. ASP.NET).
Мое понимание различных частей технологической терминологии выглядит следующим образом:
-
WIF (Windows Identity Foundation) - библиотека .NET (набор API), используемая для использования утверждений идентичности и построения пользовательских STSs и т.д.
-
Проверяющая сторона - "потребителем" требований (т. е. SharePoint, веб-сайт ASP.NET и т. д.). Претензии предоставляются через STS (только IP-STS?).
-
STS (Security Token Service) - специализированная веб-служба, выпускающая токены безопасности. Поставляется в двух вкусах, и некоторые STSs, возможно, являются обоими вкусами одновременно?
- RP-STS (служба маркеров безопасности проверяющей стороны)
- ИП-УСН (службы маркеров безопасности поставщика удостоверений)
-
Надежный поставщик удостоверений (терминология SharePoint) - он же. IP-STS.
-
SharePoint 2010/2013 STS-приложение-служба SharePoint, разработанное с использованием WIF, которое действует только как RP-STS. Действует как подключаемая точка агрегирования для ряда настраиваемых пользователем надежных поставщиков удостоверений (IP-STSs). Они могут быть построены вручную с использованием WIF, если требуется.
-
ADFS 2.0-роль Windows, разработанная специально для федерализации организации против Только экземпляр Active Directory. Предоставляет конечную точку IP-STS, построенную с помощью WIF. Мое понимание ADFS 2.0 заключается в том, что он не позволяет вам "агрегировать" других поставщиков удостоверений - он просто позволяет вам аутентифицироваться на конкретном экземпляре AD, который может быть не локальным для вас и поэтому должен быть федеративным для поддержки единого входа.
-
Windows Azure ACS 2.0-служба, предназначенная специально для федерализации любых настроенных сторонних поставщиков удостоверений (например, учетной записи Microsoft, Google, Facebook, ADFS 2.0). Действует как подключаемая точка агрегирования для других поставщиков удостоверений, для которых она действует немного как проверяющая сторона. Предоставляет конечную точку IP-STS, построенную с помощью WIF. Поставщики удостоверений, которые он агрегирует, не обязательно являются IP-STSs, но ACS 2.0 предоставляет все с помощью утверждений, используя встроенные IP-STS.
SharePoint 2010/2013 вопросы:
Моя главная проблема заключается в том, что я видел несколько статей, говорящих об ADFS 2.0 и SharePoint, которые почти читаются, как если бы вы это замена встроенного SharePoint 2010/2013 STS на ADFS 2.0! Надеюсь, это всего лишь мое чтение, но оно запутало мое понимание.
- Вы действительно можете это сделать? Я не вижу причин, почему вы не можете, если вы действительно хотите, но я предполагаю, что вам нужно отключить SharePoint STS и сделать много ручной настройки?
- зачем вам это нужно?
2.1. Проверки подлинности ad-это уже поддерживается как обновилась надежность поставщика удостоверений для SharePoint СТС и если вы хотите использовать ADFS 2.0 вместо этого, вы можете просто добавить это в качестве надежного поставщика удостоверений (IP-STS), для которого я видел сообщения в блоге.
2.2. Основываясь на моем описании служб ADFS 2.0, изменяя его для службы маркеров безопасности SharePoint будет на самом деле дать вам менее гибкое решение?
Утверждения:
- Вы можете настроить службы маркеров безопасности SharePoint для использования ADFS 2.0 с надежным поставщиком удостоверений (ИП-УСН), а также, или вместо местной рекламы.
- Вы можете настроить SharePoint STS для использования Windows Azure ACS 2.0 A доверенный поставщик удостоверений (IP-STS). Это позволит очень легко поддерживать сторонних поставщиков аутентификации без разработки собственных IP-STS с использованием Wi-Fi.
ASP.NET вопросы WIF:
-
Насколько я понимаю, для выполнения переговоров о доверии и обмена претензиями RP-STS должен разговаривать с IP-STS. Это правильно?
- поэтому в контексте построения формулы изобретения на основе ASP.NET веб-приложение (проверяющая сторона) при использовании WIF вы бы поэтому разработали / повторно использовали и включили RP-STS в приложение и настроили это, чтобы иметь доверительные отношения с IP-STS? Если нет, то можно ли получить идентификацию напрямую от IP-STS с помощью WIF?
Просто написание этого помогло мне выбросить это из головы, но любая помощь в неточностях / над упрощениями/откровенной неправдой была бы благодарна!
С уважением,
Майкл Тейлор
1 ответ:
SP STS является RP-STS, то есть у него нет хранилища учетных данных для аутентификации. Вот почему вы должны объединить его с ADFS, который является IP-STS, то есть он аутентифицируется по объявлению в своем домене.
ADFS может быть либо RP-STS, либо IP-STS, например, у вас может быть приложение path - SP. -> СП СТС -> СЛУЖБЫ ADFS (РП) -> СЛУЖБЫ ADFS (ИС) -> ОБЪЯВЛЕНИЕ.
IP-STS, которые вы объединяете с SP, не обязательно должны быть ADFS - это может быть все, что поддерживает протокол WS-Federation, например OpenAM, PingIdentity, Azure ACS. Главное, что в конце цепочки должно быть хранилище учетных данных для проверки подлинности.
Это хранилище учетных данных не обязательно должно быть AD, например ADFS - > IdentityServer - > SQL Server.
ADFS могут быть объединены со многими различными IP-STS. Пользователь может выбрать, какой из них использовать для аутентификации.
ADFS поддерживает протоколы Федерации SAML2 и WS-Fed. SP RP-STS поддерживает только WS-Fed.
Предыдущая версия ADFS (то есть 1.0) - это версия, установленная на Windows Server 2008. Вы должны скачать ADFS 2.0. К сожалению, есть ряд сообщений в блогах, в которых используется термин ADFS, но которые относятся к ADFS 1.0. Будьте осторожны-ADFS 1.0-это совершенно другой зверь.
WIF-это просто набор классов .NET. Это не STS. Вы можете пойти ВИФ -> ИП-УСН или ВИФ -> РП-СТС -> ИС-СТС и т. д.
Надеюсь, это ответило на некоторые ваши вопросы, но стреляйте, если что-то еще не так четкий.
Обновление:
Единственные STS, которые я знаю, включают WIF, - это ADFS и IdentityServer. Большинство из них, упомянутых выше, основаны на Java.
Причина, по которой вы выбрали бы ADFS вместо IWA, заключается в том, что и аутентификация против AD, но только ADFS добавляет SSO и функциональность Федерации. Кроме того, ADFS предоставляет все утверждения на основе plumbing-SAML token и т. д.
При федерализации ADFS вы предоставляете возможность проверки подлинности в нескольких хранилищах учетных данных. Но если вы решите аутентифицироваться на экземпляре ADFS,он использует репозиторий AD. При установке ADFS он находит экземпляр AD в своем домене. Это тот, который он использует.