我一直在围绕基于声明的身份验证进行大量阅读,但仍然有点困惑。我试图巩固自己的理解,特别是与SharePoint 2010/2013相关的内容,但也通常(即ASP.NET)。
我的各条技术术语的理解如下:
WIF(Windows标识基础) - 一个.NET库(API集),其用于消费的标识声明和构建自定义的STS等
依赖方 - 一个索赔的 '消费者'(即的SharePoint,ASP.NET Web站点等)。索赔是通过STS(仅限IP-STS?)提供的。
STS(安全令牌服务) - 一个专门的Web服务发出安全令牌。有两种口味,一些STS可能同时是两种口味?
- RP-STS(依赖方安全令牌服务)
- IP-STS(身份提供安全令牌服务)
信任的身份提供程序(的SharePoint术语) - AKA。 IP-STS。
的SharePoint二千零十三分之二千零十STS - 一个的SharePoint服务应用程序使用WIF仅充当RP-STS显影。充当多个用户可配置可信身份提供商(IP-STS)的可插入聚合点。如果需要,这些可以使用WIF手工制作。
ADFS 2.0 - 一个Windows角色专门针对只有一个Active Directory实例建立联盟的orgnanisation设计。公开使用WIF构建的IP-STS端点。我对ADFS 2.0的理解是,它不允许您'聚合'其他身份提供者 - 它只是允许您针对特定的AD实例进行身份验证,该实例可能不是您本地的,因此需要联合以支持SSO 。
的Windows Azure ACS 2.0 - 专门用于联合配置任何第三方身份提供者(即Microsoft帐户,谷歌,Facebook,ADFS 2.0)的服务。充当其他身份提供者的可插入聚合点,其行为有点像依赖方。公开使用WIF构建的IP-STS端点。它聚合的身份提供商不一定是IP-STS,但ACS 2.0使用其内置的IP-STS通过声明公开所有内容。
的SharePoint二千零十三分之二千零十问题:
我的主要问题是,我已经看到了一些文章谈到ADFS 2.0和SharePoint几乎读,如果你是更换内置的SharePoint 2010/2013 STS与ADFS 2.0!这有希望只是我的阅读,但它混淆了我的理解。
- 你能真正做到这一点?如果你真的想要,我没有理由不这样做,但我认为你需要禁用SharePoint STS并做大量的手动配置?
- 为什么你想这样做?
2.1。 AD身份验证作为SharePoint STS的OOTB可信身份提供程序选项已得到支持,如果您想使用ADFS 2.0,则可以将其添加为我已查看博客帖子的可信身份提供程序(IP-STS)。
2.2。基于我对ADFS 2.0的描述,将它改为SharePoint STS实际上会给你一个不那么灵活的解决方案?
声明:
- 您可以配置SharePoint STS使用ADFS 2.0可信身份提供程序(IP-STS),以及或代替本地AD。
- 您可以将SharePoint STS配置为使用Windows Azure ACS 2.0作为可信身份提供商(IP-STS)。如果不使用WIF开发自己的IP-STS,这将很容易支持第三方认证提供商。
ASP.NET WIF问题:
- 我的理解是,为了进行信任协商和索赔交流的RP-STS必须跟一个IP-STS。它是否正确?
- 因此,在使用WIF构建基于声明的ASP.NET Web应用程序(依赖方)时,您将开发/重用并在应用程序中包含RP-STS,并将其与具有信任关系一个IP-STS?如果不是,您可以使用WIF从IP-STS直接获取Identity吗?
只要写这篇文章,我就能理解这一点,但任何关于不准确/超简单/完全不真实的帮助都会感激不尽!
问候,
迈克尔泰勒
感谢发表。很有帮助。 1.你是说,你永远不会_CHANGE_在SharePoint RP-STS出来ADFS 2.0运行为STS-RP。切勿将本: (删除SP STS)SP应用程序 - > ADFS(RP-STS) - “无论 始终是这样的: SP应用程序 - > SP STS - > ADFS/ACS/OpenAM等 这正是我的想法。 2.那么你是说像Azure ACS 2.0一样,ADFS 2.0也可以用来联盟更多的IP-STS?为什么称它为ADFS,那么如果它不只是处理AD特定 - 为什么不Windows ACS? :) 3.我知道,ADFS 1.0是要避免的,这就是为什么我特别说2.0! :) –
4. WIF只是一组不是STS的.NET类。 是的,我意识到,我只是问上面的STS的_WHICH_是使用WIF代码建立的。我的理解是ADFS 2.0 STS是ACS 2.0 STS。 感谢您对WIF - > IP-STS的澄清!做WIF - > RP-STS - > IP-STS有什么好处? 非常感谢您的时间! –
“的SP STS是RP-STS即它没有凭据商店进行身份验证。这就是为什么你有ADFS到联合。这是一个IP-STS即它验证对AD在它的领域。” 但_WHY_,你会选择使用ADFS 2.0 STS时,你可以只是在基于声明的身份验证的配置选项中选择Windows身份验证,除非你出去了网络的认证? –