【发布时间】:2009-12-04 15:17:36
【问题描述】:
我正试图了解所有基于声明的 Windows 身份基础魔法。
假设我不想使用 ADFS,我不清楚的一件事是最好使用 WIF 推出自己的 STS 来完成一些艰苦的工作还是依赖第三方。
如果是第三方选项 - 有哪些第三方 STS
【问题讨论】:
标签: .net wif geneva-framework
我正试图了解所有基于声明的 Windows 身份基础魔法。
假设我不想使用 ADFS,我不清楚的一件事是最好使用 WIF 推出自己的 STS 来完成一些艰苦的工作还是依赖第三方。
如果是第三方选项 - 有哪些第三方 STS
【问题讨论】:
标签: .net wif geneva-framework
Safewhere*Identify 是基于 WIF 构建的第三方 STS,但支持其他协议并且具有比 ADSF2 更可插拔的架构。
全面披露:我在 Safewhere 工作,并积极参与产品的架构和开发。
【讨论】:
您应该永远推出自己的 STS(如果可以避免的话)。创建适合开发人员演示的 STS 是微不足道的,但世界级的企业级 STS 可不是小事。除了 ADFS 和 Safewhere 的 STS(Mark 提到过)之外,以下产品还包括 STS(或者他们说他们支持 WS-Trust,这暗示了这一点):
此外,Java 框架 Metro 就像 WCF + WIF。它拥有创建 STS 所需的一切,这是你不应该做的;但是,如果您评估这些产品并发现它们不能满足您的需求,那么您自己的产品是您唯一的选择。
【讨论】:
这当然取决于您的身份验证信息在哪里。如果您没有使用 AD,而是使用其他东西,则由该提供商提供 STS。
如果你想要的只是数据库驱动的东西,那么有一些,这取决于你在定制它时最满意的开发平台。
如果您使用的是 .NET,那么您可以使用 StarterSTS 作为起点(没有双关语)。
【讨论】:
特拉维斯,
您列出的许多产品在 IdM 领域对我来说都很熟悉。尤其是 Novell 和 Oracle……但其中大多数要么是整个堆栈,要么是套件的一部分。所有这些都需要身份存储和身份验证服务,对吧?
例如,要使用 Novell、Oracle 或 Ping,您仍然需要实现目录或其他一些用户存储,以某种方式对用户进行身份验证(例如,使用产品提供的服务的 IWA 或登录页面),然后将该用户联合到基于 WIF 的 RP,对吗?
您如何建议将这些建议与自己动手的 ADFS 实施进行比较?
我问的原因...
我们已经基于声明构建了一个核心框架和产品集,并使用 WIF 来处理这些声明。我们现在正在考虑将 ADFS 部署为 STS,并希望先退后一步,考虑是否有一种方法可以加速真正的产品部署。到目前为止,我们一直在使用 starterSTS...
我们需要支持多种身份验证选项:1) 使用我们的内部 AD 为我们企业内的用户进入 RP 的 IWA 2) 为我们客户的用户提供一种使用我们拥有和控制的用户作为其 IDP 登录的方式(假设为他们创建新目录,与我们的内部 AD 分开),以及 3) 外部 IDP,我们的客户在其中验证用户并与我们联合。
选项 2 是我们需要一些身份验证服务...因此,由于我们无法摆脱与外部 IDP 的 100% 联合 SSO,因此任何第三方选项都必须包含身份验证服务。
我简要查看了 safewhere 站点,但没有看到任何有关使用 WIF 的 STS 替代方案的可用详细信息。我看到一些联合产品和 WAM 产品...它们作为 STS 究竟提供什么?
感谢您提供的任何意见。
【讨论】: