【问题标题】:Windows Identity Foundation - Third Party Secure Token ServerWindows Identity Foundation - 第三方安全令牌服务器
【发布时间】:2009-12-04 15:17:36
【问题描述】:

我正试图了解所有基于声明的 Windows 身份基础魔法。

假设我不想使用 ADFS,我不清楚的一件事是最好使用 WIF 推出自己的 STS 来完成一些艰苦的工作还是依赖第三方。

如果是第三方选项 - 有哪些第三方 STS

【问题讨论】:

    标签: .net wif geneva-framework


    【解决方案1】:

    Safewhere*Identify 是基于 WIF 构建的第三方 STS,但支持其他协议并且具有比 ADSF2 更可插拔的架构。

    全面披露:我在 Safewhere 工作,并积极参与产品的架构和开发。

    【讨论】:

      【解决方案2】:

      您应该永远推出自己的 STS(如果可以避免的话)。创建适合开发人员演示的 STS 是微不足道的,但世界级的企业级 STS 可不是小事。除了 ADFS 和 Safewhere 的 STS(Mark 提到过)之外,以下产品还包括 STS(或者他们说他们支持 WS-Trust,这暗示了这一点):

      • Novell 访问管理器
      • Ping 身份 PingFederate
      • Symlabs 联合身份套件
      • OpenSSO
      • 沃德尔
      • 希巴莱斯
      • Redhat JBoss Identity (alpha)
      • Oracle 身份联合(我不清楚该产品是否支持 WS-Trust,但如果不支持,我会感到惊讶。)

      此外,Java 框架 Metro 就像 WCF + WIF。它拥有创建 STS 所需的一切,这是你不应该做的;但是,如果您评估这些产品并发现它们不能满足您的需求,那么您自己的产品是您唯一的选择。

      【讨论】:

        【解决方案3】:

        这当然取决于您的身份验证信息在哪里。如果您没有使用 AD,而是使用其他东西,则由该提供商提供 STS。

        如果你想要的只是数据库驱动的东西,那么有一些,这取决于你在定制它时最满意的开发平台。

        如果您使用的是 .NET,那么您可以使用 StarterSTS 作为起点(没有双关语)。

        【讨论】:

        • 这就是我的想法。我刚刚被 Microsoft 免责声明““WIF 提供了 ASP.NET 安全令牌服务网站模板来帮助您构建可用于评估的简单 STS。要构建生产 STS,您需要考虑必要的根据您的业务需求考虑可扩展性和安全性。”"
        • 那么 StarterSTS 就是这样,说明如何编写一个 - WIF 附带的 STS 模板一点也不好。所以你仍然需要考虑可扩展性和安全性
        • 所以如果我正在阅读这个正确的 starterSTS 不适合生产,对吗?那么我们应该在生产中使用什么?仅 ADFS?还有哪些其他选择? (抱歉 AJM 没有试图在这里窃取问题)
        • 查看 Travis 的回答 - 希望他们能满足您的要求。
        【解决方案4】:

        特拉维斯,

        您列出的许多产品在 IdM 领域对我来说都很熟悉。尤其是 Novell 和 Oracle……但其中大多数要么是整个堆栈,要么是套件的一部分。所有这些都需要身份存储和身份验证服务,对吧?

        例如,要使用 Novell、Oracle 或 Ping,您仍然需要实现目录或其他一些用户存储,以某种方式对用户进行身份验证(例如,使用产品提供的服务的 IWA 或登录页面),然后将该用户联合到基于 WIF 的 RP,对吗?

        您如何建议将这些建议与自己动手的 ADFS 实施进行比较?

        我问的原因...

        我们已经基于声明构建了一个核心框架和产品集,并使用 WIF 来处理这些声明。我们现在正在考虑将 ADFS 部署为 STS,并希望先退后一步,考虑是否有一种方法可以加速真正的产品部署。到目前为止,我们一直在使用 starterSTS...

        我们需要支持多种身份验证选项:1) 使用我们的内部 AD 为我们企业内的用户进入 RP 的 IWA 2) 为我们客户的用户提供一种使用我们拥有和控制的用户作为其 IDP 登录的方式(假设为他们创建新目录,与我们的内部 AD 分开),以及 3) 外部 IDP,我们的客户在其中验证用户并与我们联合。

        选项 2 是我们需要一些身份验证服务...因此,由于我们无法摆脱与外部 IDP 的 100% 联合 SSO,因此任何第三方选项都必须包含身份验证服务。

        我简要查看了 safewhere 站点,但没有看到任何有关使用 WIF 的 STS 替代方案的可用详细信息。我看到一些联合产品和 WAM 产品...它们作为 STS 究竟提供什么?

        感谢您提供的任何意见。

        【讨论】:

          猜你喜欢
          • 2011-04-21
          • 2011-04-04
          • 1970-01-01
          • 2015-12-28
          • 2011-01-11
          • 2011-08-10
          • 2014-05-01
          • 2021-12-27
          • 2011-12-19
          相关资源
          最近更新 更多