我们希望将SAML 2.0用于单点登录解决方案。作为典型的Microsoft商店,我们希望尽可能多地使用Microsoft组件。 Windows Identity Foundation支持SAML 2.0,但该扩展仍在社区技术预览(CTP)中超过一年,未来的任何地方都没有任何信息。见http://blogs.msdn.com/b/alikl/archive/2011/05/16/windows-identity-foundation-wif-extension-for-saml-2-0-protocol-community-technology-preview-ctp.aspx
我遇到了MichèleBustamante撰写的一篇鼓舞人心的文章:http://www.devproconnections.com/article/federated-security/generate-saml-tokens-using-windows-identity-foundation她积极推广WIF + SAML 2.0,但在文章中她没有谈到CTP或最终版本。我也无法与她达成澄清。
有了这样的背景,为SAML 2.0使用WIF社区技术预览或坚持使用SAML 1.1是否安全? SAML 2.0是否比SAML 1.1具有明显的优势? SAML 1.1的未来是否有问题?
还有其他选择吗?
答案 0 :(得分:4)
您应该澄清您是在谈论SAML 2.0协议(例如SAMLP)还是仅仅是令牌类型。 WIF RTM支持SAML 2.0令牌,但不支持SAMLP。
因此,如果它只是您需要的SAML 2.0令牌支持,WIF RTM就足够了,尽管WIF扩展CTP确实添加了一些SAMLP支持。
如果您正在寻找SAMLP解决方案并且您是Microsoft商店,那么您应该考虑使用ADFS 2.0。
ADFS 2.0将执行“协议转换”:它将与您的应用程序(使用SAML“令牌”)将SAMLP与身份提供商和WS-Federation对话。 WIF支持WS-Federation。
答案 1 :(得分:2)
查看Identity Server这是一个使用SQL Server进行身份验证的STS。您可以轻松地将其与ADFS联合起来。
根据我记得的有关阅读CTP版本的许可协议,它只是在那里发表评论 - 你不能使用它,例如在生产环境中。
根据@Eugenio,WIF仅支持WS-Federation。
您打算如何坚持使用SAML 1.1"?
更新:我建议您使用Identity Server对数据库进行身份验证。您的WIF应用程序使用FedUtil绑定到Identity Server。然后,您将Identity Server与ADFS联合。您的外部各方使用SAML与ADFS通信,ADFS将处理管道以使其能够使用Identity Server DB进行身份验证。
请注意,WIF根本不支持SAML。