通过wcf访问AD FS 2.0声明

Question

目前我正在开发一个WCF服务，它充当ASP应用程序和AD FS 2.0之间的中间人，因为架构师不希望ASP应用程序直接与AD FS 2.0对话。

他希望任何应用程序都使用WCF服务，并且此服务将提供信息（声明），而不使用Visual Studio的STS配置。

所以，我找到了这段代码：https://stackoverflow.com/a/10992474/516715

这项工作可以获得索赔，但我对此有疑问：

• 如何在ASP app中创建ADFS的身份验证，会话和持久性cookie？
• 通过WCF服务的会话接近程度。
• 存在更多细节以记住此案例？
• 存在安全问题？
• 有人可以就此提出建议吗？

谢谢！

Answer 1

我会说你正在打开一个充满痛苦的世界。

有一个经过安全审查的金牌标准模式，供应用程序通过浏览器使用WIF与ADFS进行通信。

因此，您实际上要做的是通过编写实现所有浏览器功能（例如cookie）的Web服务来重新发明轮子。您的解决方案失去了ADFS提供的所有优势，例如SSO，联邦，人力资源开发等。

现在你想通过编写自己的STS深入挖洞。

浏览器模式正是Microsoft用于Windows Live，Office 365和Azure Active Directory的。

因此，如果它对微软来说足够好，为什么你的架构师不想要呢？