在Microsoft环境中,可以设置一个Web应用程序,将凭据直接传递给SQL Server,以便将权限设置为最接近数据。在使用SAML和OpenID的现代应用程序中如何实现?
答案 0 :(得分:0)
您需要拆分身份验证和授权。
身份验证由IDP完成。您必须在IDP存储库中拥有有效的凭证。
IDP可以使用例如存储库中的组。 IDP有规定说存储库中只有组x的成员可以访问应用程序y。
例如ADFS,存储库是AD。
它也可以由应用程序使用DB完成。相同的原理-数据库中只有组x的成员才能访问应用程序y。
或者IDP可以传递令牌,该令牌包含从存储库中的属性派生的声明。应用程序可以使用这些声明来做出决策,或者客户端中间件可以做到这一点,例如OWIN具有以下装饰:
[Authorize(Roles =“ Admin”)]
所有这些情况都是有效的。