我花了相当一段时间看着Windows Identity Foundation。我甚至在MSDN上阅读了一本书的几章。Windows身份基础仅适用于内部应用程序/站点?
但我仍然困惑的一两件事。是WIF适用于面向公众的网站身份验证,或者这是主要针对对intranets/sharepoint网站,一些与在用户受到integrated windows auth/active directory或类似的东西确定的内部域名交易。目前,我们有许多用于我们公司的网站,用户登录并使用forms authentication/custom asp.net membership provider对数据存储进行身份验证。是否可以用WIF来替换这个机制?如果是这样,没有人有链接到这样的教程。
我试图寻找沿着这些路线的任何信息,但它已经很难找到。
原则上,没有什么关于Windows身份验证基础,使得它不适合用在“面向公众”网站,WIF是不是,把自己绑在一个特定的认证机制,无论是。但是,如果您正在考虑将Active Directory联合身份验证服务用作身份提供程序,则问题在于针对AD的身份验证用户将是您唯一的选择,因为这是它支持的一切(尽管您可以插入自定义属性存储区以从某些其他数据存储)。您的WIF信赖方(即您的网站)不一定关心用户如何进行身份验证,但只是他们通过其信任的IDP进行身份验证。
所以你的问题可能不是那么的“WIF使能”的网站,因此,它可能会发现,支持对超过Active Directory的其他一些认证兼容IDP的更多问题,以便您可以使用数据存储您目前用于验证用户身份。它可以使用ADFS为您的WIF依赖方和SAML2 IDP像Shibboleth之间的“桥梁”(一个依赖方的安全令牌服务器),可以使用数据库来验证用户身份,但在配置这样一个系统是一个显著的挑战等等您必须权衡您的用户可能从单点登录到您的应用程序所带来的好处,以抵御设置和维护此类系统所需的大量工作。
是 - WIF适合面向公众的网站验证。 ADFS v2.0仅针对AD进行身份验证。但是,您可以编写一个自定义STS,以对照您喜欢的任何内容进行身份验证。在你的情况下,使用数据存储,看看Identity Server,它对SQL DB进行验证。
看一看:
所以,WIF是主要在一起选择使用AD? –
正如我在我的答案提,没有_technical_屏障阻止您设计一个系统,允许用户与除了AD以外的凭证存储进行身份验证,但由于微软提供了一个全功能的IDP-STS在ADFS只会对广告进行身份验证那么它可能是最简单,因而也是最常见的路径。其他选择需要更多的努力或费用,因为您的选择是建立自己的STS,使用像Shibboleth这样的额外IDP并桥接它或投资第三方商业选项,如PingFederate(我对此一无所知)。 –