系统到系统 Web 服务的基于声明的身份验证

Question

我正在初步考虑在 2 个不同组织的系统之间开发 Web 服务。

（WCF/WIF 将用于开发。）

ADFS 可在两端使用。

我很想了解有关使用基于声明的身份验证是否适合系统 2 系统集成的想法？

谁有经验可以分享？

例如，使用基于 ADFS/声明的身份验证 Web 服务将要求消费系统采用标准路由环绕 IdP STS、RP STS 等，以获取必要的令牌以通过端点进行身份验证并使用服务。系统 2 系统可以这样吗？我很感激这只会在消费系统第一次获得必要的令牌时发生，然后他们将能够直接消费服务（无需额外的跃点），直到过期或需要新的令牌。

关于系统 A 使用来自系统 B 的基于声明的 Web 服务的任何想法，以及第一次进行相应身份验证的完整往返的额外开销？

Answer 1

显然，identity federation 的最大优势在于无需为其他组织的用户创建用户帐户。

在您的情况下，由于它是服务到服务的通信，因此此优势不适用。您可以使用诸如 client-id 和 app-key 之类的东西来向其他服务进行身份验证。

我看到使用联合身份验证的唯一优势是这种情况下，您可以消除安全存储应用密钥的需要。如果您的服务使用集成 Windows 身份验证 (IWA) 从 IdP STS 获取令牌并使用该令牌从 RP STS 获取令牌，则无需在任何地方存储任何机密。

您将主要使用基于声明的令牌进行身份验证，因为运行您的服务的帐户不会更改。