系统到系统Web服务的基于声明的身份验证

时间:2015-09-09 11:18:17

标签: web-services authentication integration claims-based-identity adfs

我正在初步思考在两个不同组织的系统之间开发Web服务。

(WCF / WIF将用于开发。)

ADFS可在两端使用。

我很想知道使用基于声明的身份验证是否适合系统2系统集成的想法?

有没有人有经验可以分享?

例如,使用基于ADFS /声明的auth Web服务将要求消费系统采用围绕IdP STS,RP STS等的标准路由来获得必要的令牌以使用端点进行认证并使用该服务。系统2系统可以吗?我很欣赏这只会在消费系统第一次获得必要的令牌时发生,然后他们将能够直接使用服务(没有额外的跃点),直到过期或需要新的令牌。

对系统A的任何想法都会消耗系统B的基于声明的Web服务,并在第一次进行相应的身份验证时完成往返的额外开销?

1 个答案:

答案 0 :(得分:0)

显然,通过消除为其他组织的用户创建用户帐户的需要,可以获得identity federation的最大优势。

在您的情况下,由于这是一种服务到服务通信,因此该优势不适用。您可以使用client-id和app-key之类的东西来验证其他服务。

我看到使用联合身份验证的唯一优势是,您可以省去安全存储应用密钥的需要。如果您的服务使用集成Windows身份验证(IWA)从IdP STS获取令牌并使用该令牌从RP STS获取令牌,则无需在任何地方存储任何机密。

您将主要使用基于声明的标记进行身份验证,因为运行服务的帐户不会更改。