带有ADFS和自定义STS的SharePoint 2010 SSO

Question

我有以下场景：

三种不同的Sharepoint服务器：sp1.company.com; sp2.company.com ... 使用Windows身份验证的内部用户和使用基于窗体的身份验证（FBA）的外部用户。

当外部用户从一台服务器更换为另一台服务器时，他们必须重新登录。我的目标是为所有SharePoint Server提供单点登录（SSO）。

我想也许我可以通过使用ADFS为内部用户和customSts（ThinkTecture IdentityServer）为外部用户做到这一点。

这可能吗？我如何设置Sts服务器ADFS和IdentityServer？我是否必须通过WS-Federation将ADFS连接到IdentityServer？

Answer 1

是的，你提出的架构很好。您将不得不停止在SharePoint上使用表单身份验证和Windows身份验证，并开始使用基于声明的（SAML和WS-Fed）作为单一登录机制。架构模式是：您的应用程序信任“联合中心”（可以是ADFS或Windows Azure Active Directory）。该服务器将与您的身份提供商和应用程序建立所有信任关系。就你而言，你今天拥有的是几个SharePoint应用程序和两个身份提供者（一个AD通过ADFS，另一个通过类似Identity Server的自定义数据库）。

一切是通过标准协议和令牌格式相连。从SharePoint到“联合中心”，您将使用WS-Federation和SAML 1.1令牌。从“联邦中心”到ADFS，您将使用WS-Federation和SAML 1.1或2.0令牌。从“联邦中心”到Identity Server，它与ADFS相同。未来，如果您想要插入类似Facebook的内容，“联邦中心”需要使用OAuth，但SharePoint仍将使用WS-Federation，因此您不必触摸该部分。

作为联邦中心的ADFS将为您提供对WS联合和SAML协议（但不支持OAuth）的支持。今天对你来说可能已经足够了。您可能要考虑Windows Azure Active Directory（以前称为Windows Azure访问控制服务），它是作为Microsoft提供的服务提供的“联盟中心”（每100K登录时价格为2美元）。除ADFS外，微软目前更专注于WAAD。 WAAD将为您提供对OAuth，移动场景，Office 365等的支持。并不是说ADFS正在退休或者类似的情况，只是我对投资地点的看法。

把东西放在一起，需要一定的学习时间，所以要准备打像证书问题，误配置，主领域发现了一些墙，声称改造时，SharePoint人员选取，饼干，注销等

这里有一些指针：

• 添加IdentityServer的声明提供给ADFS很简单，你必须使用由IdentityServer提供的FederationMetadata端点，并将其添加在ADFS（向导或PowerShell的）声明提供。
• Configuring SharePoint 2010 with ADFS
• Setting up ADFS
• Configuring SharePoint 2010 with Windows Azure AD to use Google and ADFS identities using Auth10 in 5 minutes。这最后一个属于产品我们正在建设，其目的是简化所有这些:)

马蒂亚斯

Answer 2

感谢您的回复，这对我帮助很大。

我设法构建了一个使用ADFS和CustomSTS进行身份验证的简单ASP应用程序。我可以在ADFS中选择家庭领域，并可以在IdentityServer中登录我，但没有重定向到我的应用程序。此外，我没有管理它与SharePoint做到这一点。使用PowerShell脚本应该很容易，但它还没有工作。

关于人员选择器：我知道我必须覆盖SharePoint中的ClaimsProvider。我是否必须针对AD和我的自定义会员供应商进行查询？

我看着你的产品。也许这对我们也可能有用。我会进一步测试它。

问候， 帕特里克