【发布时间】:2013-12-23 14:25:53
【问题描述】:
我想构建一个应用程序,它可以与任何身份提供者(如 ADFS、OpenAM、oracle 身份)独立工作。我的目的是验证来自任何 IDP 的登录用户,这些用户曾被配置为实现我的 SSO。
我不确定 DotNetOpenAuth 2、OAuth.net 和 Microsoft.OWIN.Security.oAuth 中哪一个好。
请帮助我朝着正确的方向前进
非常感谢
【问题讨论】:
【发布时间】:2013-12-23 14:25:53
【问题描述】:
这些库都不能帮助您使用这些产品。
- ADFS 实现 WS-Fed 或 SAML 协议
- Oracle Identity Federation 实施 SAML 协议
- OpenAM 实现 SAML 协议
您提到的库实现:
- DotNetOpenAuth:OAuth1a 和 OAuth2 或 OpenID
- OAuth.Net:OAuth2
- Microsoft.OWIN.Security.OAuth:OAuth。
应对这一挑战的最佳方法是在您的应用程序和这些身份提供者之间构建中介服务。
有几个选项:
- 使用 Microsoft ADFS 作为中介。这需要使用 ADFS 设置服务器,并且您将仅支持 SAMLP / WS-Fed(Oracle Identity 支持)。
- 使用 Microsoft Windows Azure ACS 作为中介。这是 Windows Azure 提供的服务。这将仅支持与 ADFS 和一些社交提供商(Google、Facebook 和 Windows Live)的连接,但不支持与 Oracle/OpenAM 等 SAML 提供商的连接。
- 使用Auth0 之类的服务。这是一项在 Windows Azure 商店中作为附加组件提供的服务。它支持企业身份提供商(如 ADFS 或任何 SAML 协议或 Windows Azure AD)、社交提供商(Google、Faceobok、Twitter、GitHub、LinkedIn、Windows Live 等),甚至可以将其与您自己的数据库连接并处理一种身份验证方案包括将身份传递给 API(如果有的话)。
免责声明:我为 Auth0 工作
希望这会有所帮助, 马蒂亚斯
【讨论】:
-
我认为未来是 oAuth,现在以下服务支持 oAuth 2.0 ADFS 2012 R2、新版本的 OpenAM 和 oracle 以及社交网站支持 oAuth。我只想支持非社交 IDP,所以你提到的中间服务应该是基于 Web 或 Web API 的,该服务将包含什么类型的信息?
-
确实有倾向于像 OAuth2 这样更简单的协议。但 SAML 将保持强劲,因为许多公司都采用了它。此外,OAuth2 是一个具有多种实现的协议(例如,您用于连接 Facebook 的 Oauth2 实现对 Google 不起作用)。如果您想支持非社交 IDP,那么他们中的大多数将使用 SAML。实现这种中介服务并非易事,这就是我推荐使用产品/服务的原因。
-
ADFS 2012 R2 支持 oAuth 2.0,OpenAM 和 oracle 身份新版本也支持 oAUth 2.0,所有社交网站现在也支持 oAuth 2.0。我的观点是,是否有任何 API 构建在完整的 oAuth 2.0 RFC 之上,以便我们可以使用它们来支持所有非社交 IDP?
同意@Matias - 这不是一个小问题。
使用已经存在的东西要好得多。
另一个选项可能是Authorization Server。这提供了完整的 OAuth 支持以及与 ADFS、OpenAM 和 Oracle 身份的联合功能。
【讨论】: