1. 首页
  2. 问答
  3. 基于声明的身份验证 - SharePoint和通常

基于声明的身份验证 - SharePoint和通常

2013-01-10 34 views
9

全部,基于声明的身份验证 - SharePoint和通常

我一直在围绕基于声明的身份验证进行大量阅读,但仍然有点困惑。我试图巩固自己的理解,特别是与SharePoint 2010/2013相关的内容,但也通常(即ASP.NET)。

我的各条技术术语的理解如下:

  • WIF(Windows标识基础) - 一个.NET库(API集),其用于消费的标识声明和构建自定义的STS等

  • 依赖方 - 一个索赔的 '消费者'(即的SharePoint,ASP.NET Web站点等)。索赔是通过STS(仅限IP-STS?)提供的。

  • STS(安全令牌服务) - 一个专门的Web服务发出安全令牌。有两种口味,一些STS可能同时是两种口味?

    • RP-STS(依赖方安全令牌服务)
    • IP-STS(身份提供安全令牌服务)

  • 信任的身份提供程序(的SharePoint术语) - AKA。 IP-STS。

  • 的SharePoint二千零十三分之二千零十STS - 一个的SharePoint服务应用程序使用WIF仅充当RP-STS显影。充当多个用户可配置可信身份提供商(IP-STS)的可插入聚合点。如果需要,这些可以使用WIF手工制作。

  • ADFS 2.0 - 一个Windows角色专门针对只有一个Active Directory实例建立联盟的orgnanisation设计。公开使用WIF构建的IP-STS端点。我对ADFS 2.0的理解是,它不允许您'聚合'其他身份提供者 - 它只是允许您针对特定的AD实例进行身份验证,该实例可能不是您本地的,因此需要联合以支持SSO 。

  • 的Windows Azure ACS 2.0 - 专门用于联合配置任何第三方身份提供者(即Microsoft帐户,谷歌,Facebook,ADFS 2.0)的服务。充当其他身份提供者的可插入聚合点,其行为有点像依赖方。公开使用WIF构建的IP-STS端点。它聚合的身份提供商不一定是IP-STS,但ACS 2.0使用其内置的IP-STS通过声明公开所有内容。

的SharePoint二千零十三分之二千零十问题:

我的主要问题是,我已经看到了一些文章谈到ADFS 2.0和SharePoint几乎读,如果你是更换内置的SharePoint 2010/2013 STS与ADFS 2.0!这有希望只是我的阅读,但它混淆了我的理解。

  1. 你能真正做到这一点?如果你真的想要,我没有理由不这样做,但我认为你需要禁用SharePoint STS并做大量的手动配置?
  2. 为什么你想这样做?

2.1。 AD身份验证作为SharePoint STS的OOTB可信身份提供程序选项已得到支持,如果您想使用ADFS 2.0,则可以将其添加为我已查看博客帖子的可信身份提供程序(IP-STS)。

2.2。基于我对ADFS 2.0的描述,将它改为SharePoint STS实际上会给你一个不那么灵活的解决方案?

声明:

  • 您可以配置SharePoint STS使用ADFS 2.0可信身份提供程序(IP-STS),以及或代替本地AD。
  • 您可以将SharePoint STS配置为使用Windows Azure ACS 2.0作为可信身份提供商(IP-STS)。如果不使用WIF开发自己的IP-STS,这将很容易支持第三方认证提供商。

ASP.NET WIF问题:

  1. 我的理解是,为了进行信任协商和索赔交流的RP-STS必须跟一个IP-STS。它是否正确?
  2. 因此,在使用WIF构建基于声明的ASP.NET Web应用程序(依赖方)时,您将开发/重用并在应用程序中包含RP-STS,并将其与具有信任关系一个IP-STS?如果不是,您可以使用WIF从IP-STS直接获取Identity吗?

只要写这篇文章,我就能理解这一点,但任何关于不准确/超简单/完全不真实的帮助都会感激不尽!

问候,

迈克尔泰勒

来源

2013-01-10 Michael Taylor

回答

6

的SP STS是RP-STS即它不具有凭证存储到对身份验证。这就是为什么你必须将它与ADFS进行联合,这是一个IP-STS,即它对AD域进行身份验证。

ADFS可以是RP-STS或IP-STS,例如,你可以有路径 - SP应用程序。 - > SP STS - > ADFS(RP) - > ADFS(IP) - > AD。

您与SP联盟的IP-STS不必是ADFS--它可以是任何支持WS联合身份验证协议的任何内容,例如, OpenAM,PingIdentity,Azure ACS。主要的一点是,在链条的最后,必须有一个凭证存储来进行身份验证。

此凭证商店不一定是AD。 ADFS - > IdentityServer - > SQL Server。

ADFS可以联合许多不同的IP-STS。用户可以选择哪一个用于认证。

ADFS支持SAML2和WS-Fed作为联合协议。 SP RP-STS仅支持WS-Fed。

以前版本的ADFS(即1.0)是安装在Windows Server 2008上的版本。您必须下载ADFS 2.0。不幸的是,有许多博客文章使用术语ADFS,但指的是ADFS 1.0。当心 - ADFS 1.0是一个完全不同的野兽。

WIF只是一组.NET类的。这不是一个STS。你可以去WIF - > IP-STS或WIF - > RP-STS - > IP-STS等。

希望这可以回答你的一些问题,但如果还有什么不清楚的话就会开火。

更新:

唯一的STS的我知道,包括WIF是ADFS和IdentityServer。上面提到的大多数是基于Java的。

,你会选择在ADFS IWA的是,无论对广告进行身份验证,但只有ADFS增加了SSO和联邦功能的原因。此外ADFS提供所有基于声明的管道 - SAML令牌等

当联合ADFS,您所提供的针对多个证书认证店的能力。但是,如果您选择使用ADFS实例进行身份验证,则会使用AD存储库。当您安装ADFS时,它会在其域中找到AD的实例。这是它使用的一个。

来源

2013-01-10 18:27:14 nzpcmad

+0

感谢发表。很有帮助。 1.你是说,你永远不会_CHANGE_在SharePoint RP-STS出来ADFS 2.0运行为STS-RP。切勿将本: (删除SP STS)SP应用程序 - > ADFS(RP-STS) - “无论 始终是这样的: SP应用程序 - > SP STS - > ADFS/ACS/OpenAM等 这正是我的想法。 2.那么你是说像Azure ACS 2.0一样,ADFS 2.0也可以用来联盟更多的IP-STS?为什么称它为ADFS,那么如果它不只是处理AD特定 - 为什么不Windows ACS? :) 3.我知道,ADFS 1.0是要避免的,这就是为什么我特别说2.0! :) –

+0

4. WIF只是一组不是STS的.NET类。 是的,我意识到,我只是问上面的STS的_WHICH_是使用WIF代码建立的。我的理解是ADFS 2.0 STS是ACS 2.0 STS。 感谢您对WIF - > IP-STS的澄清!做WIF - > RP-STS - > IP-STS有什么好处? 非常感谢您的时间! –

+0

“的SP STS是RP-STS即它没有凭据商店进行身份验证。这就是为什么你有ADFS到联合。这是一个IP-STS即它验证对AD在它的领域。” 但_WHY_,你会选择使用ADFS 2.0 STS时,你可以只是在基于声明的身份验证的配置选项中选择Windows身份验证,除非你出去了网络的认证? –

相关问题

 相关问题