通过ADFS验证Web服务的用户

时间:2011-07-06 15:55:29

标签: wcf security identity adfs ws-federation

我希望有人可以确认我对ADFS的理解(或缺乏!)。

我甚至画了一张漂亮的图表。

“Bob”使用Web应用程序,该应用程序托管在客户端的域上。客户端通过AD验证Bob。但是,Web应用程序使用在供应商上开发和托管的WCF服务。

客户与供应商之间建立了信任关系。

我的问题 - 当Web App使用WCF服务时,我希望WCF服务重新验证“Bob”,然后WCF服务可以使用ADFS服务器返回的声明。客户端。

这张照片好吗?

enter image description here

1 个答案:

答案 0 :(得分:3)

几乎。将Web服务和ADFS(IP-STS)之间的箭头移动到Web应用程序和ADFS之间。然后,它将发送到Web服务的“Bob”是由包含有关Bob的声明的ADFS签名的令牌。 Web服务将检查此签名,如果匹配,则声明将被视为可信任。

通常,对于像这样的交叉或大型用例,供应商也会有STS(RP-STS)。将在STS之间建立信任。然后,本地应用程序(例如,该图中的Web应用程序和服务)仅需要信任其本地STS。这避免了完全连接的信任关系图。

Cross organizational trust

HTH!