4
我试图让我的头绕过所有基于Windows身份基础魔法的索赔。Windows身份基础 - 第三方安全令牌服务器
假设我不想使用ADFS,有一点我不清楚的是,是否最好使用WIF来推出自己的STS来完成一些艰苦的工作或依靠第三方。
而如果是第三方选项 - 什么第三方STS的是有
A
回答
1
这一切都取决于您的认证信息是当然的。如果您没有使用广告,但正在使用其他东西,则由供应商提供STS。
如果所有你想要的都是数据库驱动的东西,那么这里有一些东西,它取决于你开发定制它时最开心的开发平台。
如果您使用.NET,那么您可以使用StarterSTS作为起点(不是双关语)。
3
Safewhere*Identify是在WIF上构建的第三方STS,但支持附加协议并具有比ADSF2更易插入的体系结构。
完全披露:我为Safewhere工作,并且大量参与架构和开发产品。
3
你应该从来没有推出自己的STS(如果你可以避免它)。创建一个适合开发者演示的STS是微不足道的,但是世界级的企业级口碑STS是一项不小的任务。除了ADFS和Safewhere的STS(其中马克提到的),下面的产品包括STS(或他们说,他们支持WS-信托这意味着此):
- 的Novell Access Manager的
- 坪身份的PingFederate
- Symlabs联合身份套房
- OpenSSO的
- Vordel
- Shibaleth
- 红帽JBoss的标识(阿尔法)
- Oracle身份联邦(我对是否该产品支持WS-信托目前还不清楚,但如果没有我会感到很惊讶。)
此外,Java框架地铁就像是WCF + WIF。它拥有创建STS所需的一切,你不应该这样做;但是,如果您对这些产品进行评估并发现它们不能满足您的需求,那么将自己推出是您唯一的选择。
0
特拉维斯,
许多你列出的产品都是从身份管理空间面熟。特别是Novell和Oracle ......但其中大部分都是整个堆栈或套件的一部分。而且他们都需要身份存储和身份验证服务,对吧?
例如,要使用Novell或Oracle或Ping,您仍然需要实现目录或其他用户存储,以某种方式验证用户(例如,使用产品提供的服务的IWA或登录页面)以及然后将该用户联合到基于WIF的RP,对吧?
你会如何将这些建议与自己动手做的ADFS实现进行比较?
我之所以问...
我们已经建立基于权利要求中的核心架构和产品集,使用WIF消耗这些说法。我们现在正在考虑将ADFS部署为STS,并且希望先退后一步,并考虑是否有办法加速真正的产品部署。我们一直在使用starterSTS ...
我们需要支持多种认证选项:1)IWA通过我们的企业内部用户的内部AD进入RP 2)为我们客户的用户提供登录方式使用我们拥有和控制的用户作为他们的IDP(假设他们有一个新的目录,与我们的内部AD分开),以及3)我们的客户验证用户身份并加入我们的外部IDP。
选项2是我们需要一些身份验证服务的...因此,我们无法逃脱100%联合SSO与外部IDP,任何第三方选项都必须包含身份验证服务。
我简要地看了一下safewhere网站,并没有看到关于使用WIF的STS替代方案的任何可用细节。我看到一些联邦产品和一个WAM产品......他们提供的STS究竟是什么?
感谢您的任何输入。
那就是我在想什么。我只是被微软的免责声明吓倒了“”WIF提供了ASP.NET安全令牌服务网站模板,以帮助您构建一个可用于评估的简单STS。要构建生产STS,您需要考虑必要的可扩展性和安全考虑因素。“” – AJM 2009-12-04 15:30:41
StarterSTS就是这么说的,如何编写一个例子 - WIF附带的STS诱惑并不是很好。所以你仍然需要考虑可扩展性和安全性 – blowdart 2009-12-04 16:21:54
因此,如果我正在阅读这个正确的入门者,STS不适用于生产权?那么我们应该在生产中使用什么?只有ADFS?还有什么其他的选择? (对不起AJM不想偷这个问题) – roundcrisis 2009-12-09 16:54:29