使用WIF 4.5管理声明的最佳方法是什么?

时间:2016-04-05 19:49:57

标签: authorization wif claims-based-identity claims wif4.5

我最近一直在深入研究WIF 4.5,以便使用更细粒度的权限来改进基于角色的旧版Webforms应用程序。该应用程序使用Windows Auth,因此实现基于声明的授权似乎相对简单。我可以使用ClaimsPrincipalPermission来标识资源和操作来装饰页面和方法。我可以插入自定义AuthorizationManager来应用授权规则。有很多很好的例子说明了如何做到这一点。以下是一些:

我似乎无法找到的是如何最好地管理用户声明的好例子。我看到了两个基本挑战。

  • 如何使应用程序声明与用户声明保持同步? 如何发现或跟踪应用程序的所有声明 要求?然后我如何确保用户拥有所有这些 声称他们需要并随着时间的推移管理这个?
  • 如何防止导致笨拙的索赔管理和复杂授权规则的爆炸性细粒度索赔?

我正在寻找索赔授权的一些​​指导或参考实施,这些实施支持细粒度控制,同时也易于管理。

1 个答案:

答案 0 :(得分:0)

通常情况下,WIF与ADFS(位于AD之上)等IDP一起使用。

声明在ADFS上配置而不是WIF。在ADFS上配置的声明将发送到SAML令牌中的WIF。要查找为应用程序配置的声明,您必须查看ADFS。

声明不是动态的,即如果在AD中更改了用户属性,则在用户下次登录之前不会更新声明。

尝试限制为用户配置的声明数量并确保正确配置AD并非易事。一种方法是通过组(AD安全角色)。 ADFS可以为您映射这些内容。