我最近一直在深入研究WIF 4.5,以便使用更细粒度的权限来改进基于角色的旧版Webforms应用程序。该应用程序使用Windows Auth,因此实现基于声明的授权似乎相对简单。我可以使用ClaimsPrincipalPermission来标识资源和操作来装饰页面和方法。我可以插入自定义AuthorizationManager来应用授权规则。有很多很好的例子说明了如何做到这一点。以下是一些:
我似乎无法找到的是如何最好地管理用户声明的好例子。我看到了两个基本挑战。
我正在寻找索赔授权的一些指导或参考实施,这些实施支持细粒度控制,同时也易于管理。
答案 0 :(得分:0)
通常情况下,WIF与ADFS(位于AD之上)等IDP一起使用。
声明在ADFS上配置而不是WIF。在ADFS上配置的声明将发送到SAML令牌中的WIF。要查找为应用程序配置的声明,您必须查看ADFS。
声明不是动态的,即如果在AD中更改了用户属性,则在用户下次登录之前不会更新声明。
尝试限制为用户配置的声明数量并确保正确配置AD并非易事。一种方法是通过组(AD安全角色)。 ADFS可以为您映射这些内容。