什么是 Shibboleth 服务提供商，我是否可以为 Windows Azure MVC3 Web 角色安装它？

Question

请原谅我，我是 Shibboleth / SAML 2 菜鸟。希望这些都是直截了当的问题。

我recently posted asking whether we could do Shib / SAML 2 integration with Azure ACS。答案让我相信我们不能使用 ACS，而是使用较低级别的 WIF + SAML2 Extensions CTP 库来实现一些东西。

关于一个相关问题，我打电话给我们的一个附属机构，询问他们是否可以使用他们的 InCommon Federation 成员身份将我们的应用程序添加为服务提供商。他们问我是否要在托管我们的 MVC3 Web 角色的 Azure 机器上安装 Shibboleth 服务提供程序。

在他们提到这一点之前，我不知道有 Shibboleth Service Provider installer。根据我目前所读到的有关 SAML2 的所有内容，我的印象是，我们的 mvc3 Web 角色是服务提供者。

那么，什么是 Shibboleth 服务提供者？它有什么作用？在我们的 Azure 实例上安装它会增加什么价值？我是否必须拥有它才能针对 Shibboleth 进行 SSO？或者我们可以只做纯 saml2 吗？

我的偏好是不安装它，因为它必须安装在每个角色实例上，这使得部署需要更长的时间。

Answer 1

在这个问题中有一些关于在您的 Web 应用程序前面使用 Shibboleth 2 进行 SSO 的信息：In order to implement SAML do I need Shibboleth SP installed on my host?;答案是以 linux/Java 为中心。

Shibboleth SP 是一种产品，您可以在现有 Web 应用程序前面使用，甚至可以在可以添加到现有 Web 应用程序的特定 SSO 登录 URL 前面使用。如果您的应用程序已经有了用户的概念，那么您可以简单地弄清楚如何将身份提供者的用户属性映射到您的应用程序用户。你和你的附属公司需要想出你想要做什么来将身份提供者的身份映射到你的应用程序上的身份。您可能有一些共享数据，或者您可能需要在用户首次使用 SSO 时设置这些数据。

Shibboleth SP 提供的价值在于它是一种产品，可实现您可能需要的所有 SAML 2.0 交互。使用 Shibboleth 配置 SAML 2.0 Web-SSO 很容易，并让 Shibboleth 模块将变量添加到 HTTP 请求中，其中包含身份提供者将向您发送的 SAML 2 断言中的所有属性。

如果您可以使用 Azure ACS 完成所有这些操作，则无需安装 Shibboleth。我的有限理解是 Azure ACS 可能已经支持 SAML 2.0 Web SSO：http://saml.xml.org/news/windows-azure-gains-single-sign-on-support