单点登录ASP身份保护多个应用程序

Question

我对于可用的单点登录选项非常新颖。我目前需要在同一产品系列中保护多个应用程序集，并且不知道从哪里开始。

一些基本要求是

1. 用户应该能够进行一次认证，以及基于证书的用户会被重定向到所需的应用
2. 一个中央管理控制台应该可以为管理员简化角色分配，以及授予访问权限根据需要
3. 用户可以对某些应用，但某些敏感的应用注册需要管理员批准的用户可以成功登录前的各种应用。
4. 此SSO还应使用某种权限逻辑保护API，例如只有主管角色可以删除记录
5. 用户应该能够向OAuth提供商注册，例如Facebook，Twitter，谷歌& Windows直播。
6. SSO提供应该是简单的实现为平台，例如Windows应用程序，Web应用程序，许多移动&服务

我不知道从哪里开始，我已经通过像做了快速阅读ADFS https://msdn.microsoft.com/en-us/library/bb897402.aspx，但没有IDEA，如果这将满足上面列出的所有要求。

任何帮助指出我在正确的方向将不胜感激！

Answer 1

你是混淆两个不同的概念，即：

• 认证
• 置备

ADFS只做前者。您需要使用Identity Manager（IM）来完成后者。

所以：

用户应该能够认证一次，并根据凭证用户将被重定向到所需的应用

我将注意力集中在微软世界。 ADFS和Azure AD都可以做到这一点。用户 - >程序 - > IDP - 验证 - >回应用程序

中央管理控制台应该可以根据需要

管理员简化角色分配，以及授予访问各种应用程序

IM功能。 AAD可以完成组的分配，但并没有真正的工作流程。您可以使用Windows Server中的“Active Directory用户控制”来手动编辑供ADFS使用的AD属性。

用户可以针对特定应用注册，但一些敏感的应用程序需要管理员的批准，用户可以成功登录前

IM - 需要的工作流程

这SSO还应该使用某种权限逻辑来保护API只有主管角色可以删除记录

这是两个。 ADFS 4.0（Server 2016）可以像AAD一样保护Web API。如上所述删除角色即时消息。

用户应该能够通过OAuth供应商，如Facebook，Twitter，谷歌&的Windows Live注册。

微软的社交互动有限。您可以使用AAD添加一些社交提供商。我使用Auth0和联邦，因为它有大量的社交提供者。 Azure B2C可能适用于此。

的SSO提供商应该简单落实到平台如Windows应用程序，Web应用程序，许多移动&服务

对于Web应用程序，你可以使用SAML，WS美联储，OpenID Connect & OAuth。

对于Windows应用程序，您可以使用OpenID Connect & OAuth。

对于移动&服务，您可以使用OpenID Connect & OAuth。 （注意有四种流程可以满足不同的场景）。

ADFS 4.0（Server 2016）和AAD可以支持以上所有。