【问题标题】:Why using Federation Provider?为什么使用联合提供者?
【发布时间】:2018-01-05 08:09:20
【问题描述】:
到目前为止我所理解的:-
用户登录 IDP,然后 IDP 向该用户提供令牌,当用户尝试访问信任 IDP 的应用程序时,应用程序将验证令牌以授权用户根据提供的声明执行某些操作。
应用程序信任 IDP X = 应用程序在 IDP 注册以接收 X 令牌。
Federation Provider 是做什么用的??我得到的一种解释是,当两个组织相互不信任并且仍然需要员工使用 SSO 访问两个组织的网络时,使用 FP。为什么他们不简单地相互信任而不是使用 FP?
【问题讨论】:
标签:
asp.net-identity
wif
claims-based-identity
federated-identity
【解决方案1】:
每@paullem
“在 WIF/Microsoft 世界中,“身份提供者”(IP 或 IdP)是对用户进行身份验证的服务器的术语(服务器连接到某个帐户数据库,在当前的 ADFS 情况下为 AD)。
联合服务器/提供者通常用于从另一台服务器接收 SAML 令牌的服务器。然后转发给下一个依赖方。
ADFS 服务器通常/通常两者。"
所以通常它们是一回事。
不记得曾经安装过 IDP,它只是一个联合提供者。
【解决方案2】:
联合身份验证很难缩写,但主要概念如下:
- STS 是用来进行身份验证的,因此应用程序不再需要处理密码。安全方面只有一个地方可以加强。
- 通常每个依赖方都有自己的安全令牌。 STS 将发行代币。通常,一旦用户登录到任何应用程序,它就会自动发出令牌。这提供了单点登录。因为让您保持登录状态的“cookie”位于 STS 域中,所以这很有效。
- 类似地,当用户退出时,她会使用单点退出自动退出所有应用程序。
所以最主要的是你可以连接任何你想要的应用程序。该应用程序永远不会看到用户的凭据(因为只有您自己的 STS 才能看到它们)。这是创建用户可以访问的应用程序生态系统的安全方式。
另一个好处是通常存储在安全令牌中的声明。这些是任何依赖方都会自动获得的用户属性。如果没有这样的机制,您将需要创建某种 API,依赖方可以在其中查询这些信息,这既不安全又更麻烦。此外,安全令牌的到期确保任何具有非最新数据(例如已更改的电子邮件)的应用程序将在用户注销并再次登录时或当安全令牌过期(这是您必须做出的妥协。)