我正试图了解所有基于声明的Windows身份基础魔法。
假设我不想使用ADFS,我不清楚的一件事是,是否最好使用WIF滚动自己的STS来完成一些艰苦的工作或依赖第三方。
如果它是第三方选项 - 那里有第三方STS
答案 0 :(得分:3)
Safewhere*Identify是基于WIF构建的第三方STS,但支持其他协议和比ADSF2更可插拔的架构。
完全披露:我在Safewhere工作,并积极参与架构和开发产品。
答案 1 :(得分:3)
你应该从不滚动你自己的STS(如果你可以避免它)。创建适合开发人员演示的STS是微不足道的,但是世界级的企业级STS不是一件小事。除了ADFS和Safewhere的STS(Mark提到),以下产品包括STS(或者他们说它们支持WS-Trust,这意味着这一点):
此外,Java框架Metro就像WCF + WIF。它拥有创建STS所需的一切,您不应该这样做;但是,如果您评估这些产品并发现它们无法满足您的需求,那么您可以选择自己的产品。
答案 2 :(得分:1)
这完全取决于您的身份验证信息的位置。如果您不使用AD,但正在使用其他东西,那么由提供商提供STS。
如果你想要的只是数据库驱动的东西,那么有很多东西,这取决于你定制它时最开心的开发平台。
如果您正在使用.NET,那么您可以使用StarterSTS作为起点(没有双关语)。
答案 3 :(得分:0)
特拉维斯,
您列出的许多产品都是我在IdM领域所熟悉的。尤其是Novell和Oracle ......但其中大部分都是整个堆栈或套件的一部分。所有这些都需要身份存储和身份验证服务,对吗?
例如,要使用Novell或Oracle或Ping,您仍需要实现目录或其他一些用户存储,以某种方式对用户进行身份验证(例如,使用产品提供的服务进行IWA或登录页面),然后将该用户联合到基于WIF的RP,对吧?
您如何建议将这些建议与自己动手的ADFS实施进行比较?
我问的原因......
我们已经基于声明构建了核心框架和产品集,使用WIF来消费这些声明。我们现在正在考虑将ADFS部署为STS,并希望先退后一步,考虑是否有办法加速真正的prod部署。我们一直在使用starterSTS ......
我们需要支持多种身份验证选项:1)IWA使用我们的内部AD为我们企业内的用户进入RP 2)为我们客户的用户提供一种方式,使用我们拥有的用户登录并作为他们的IDP进行控制(假设他们的新目录,与我们的内部AD分开,以及3)我们的客户对用户进行身份验证并联合我们的外部IDP。
选项2是我们需要一些身份验证服务...因此,由于我们无法通过外部IDP实现100%联合SSO,因此任何第三方选项都必须包含身份验证服务。
我简要地看了一下safewhere网站,但没有看到任何有关使用WIF的STS替代方案的可用细节。我看到一些联邦产品和一个WAM产品......它们作为STS究竟提供了什么?
感谢你提供的任何意见。