單一登錄.NET應用程序集成Active Directory

Question

我們有幾個客戶使用我們的Web應用程序（不是內部網），有些客戶希望他們的登錄應該與他們的組織Active Directory集成。 他們只是希望該用戶應該登錄到他們的Windows帳戶，並且可以在不輸入任何用戶憑證的情況下訪問該Web應用程序。

我已閱讀了一些關於ADFS的文章，但仍不確定如何整合或實現它。 任何建議的解決方案？

謝謝！

Answer 1

根據意見需要更多詳細信息。

這裏有一個很好的來源：AD FS 2.0 Content Map。

「電子書」是here。

我可以想象一種情況，您將您的雲應用程序綁定到Azure ACS，您的客戶在其AD的頂部安裝ADFS並將其ADFS與ACS聯合。這會給你你需要的功能。評論後

更新：

ADFS只能對廣告進行身份驗證。它無法對數據庫進行身份驗證。它可以從SQL Server DB獲取屬性，然後將其轉換爲聲明，即可以使用SQL DB進行授權。

如果您想對SQL DB進行身份驗證，您可以有兩種選擇。

1. 創建自定義的STS
2. 使用現有的 「自定義」 STS像Identity Server允許這項功能。

Answer 2

您的問題沒有明確說明您是否僅限於使用ADFS來實現SSO。 ADFS無疑是這樣做的一種方式。您可能需要查看OpenID-LDAP _{^{（位於www.openid-ldap.org，但項目現在不存在）}}和其他identity providers作爲實現SSO的替代方案。

一種替代方法是實現使用集成Windows身份驗證的OpenID提供程序。他們可以將它安裝在他們的DMZ中，而不是ADFS，而是將它安裝到互聯網上。它可能允許從Internet Explorer和Chrome單點登錄。

實現一個OpenID提供者是一件不平凡的事情。你必須密切關注安全性。幸運的是，有一些框架可以幫助您，如DotNetOpenAuth。

當使用OpenID時，您的「雲」應用程序將充當OpenID依賴並獲得來自OpenID提供者的其他屬性的聲明標識符。您應該將其存儲在數據庫中以唯一標識用戶。您可以選擇實施OpenID提供程序，以便它還可以爲您的雲應用程序提供電子郵件地址，人名等最少信息。

使用OpenID的好處是您的「雲」應用程序可以繼續支持其他衆所周知的OpenID提供商如谷歌和雅虎沒有太大改變。

最後，您需要問您的客戶他們感覺舒適的技術。你會發現組織之間缺乏信任（一種商業特徵）往往不是挑戰而不是技術。

Answer 3

如果您開發基於.NET的應用程序，Microsoft提供了一個名爲WIF的庫，該庫用於以+舒適的方式與AD FS進行通信（配置+少量代碼適配以從提供的驗證消息中獲取聲明由AD FS）。

AD FS 2.0和WIF都支持很少的協議，爲了使SSO正常工作，最常見的協議是（afaik）SAML 2.0和WS-Federation。兩者都基於XML消息，但如果您使用WIF，則不需要知道詳細信息。

對於WS-Federation，WIF庫爲Visual Studio提供了一個插件，它允許您將站點配置爲AD FS的依賴方。

您可以使用您的數據庫中的憑據來識別用戶，實際上您可以使用AD FS的整個登錄頁面和身份驗證事件customize。但是，基本安裝要求在Active Directory中定義每個用戶。您還可以將您的數據庫用作理賠商店（AD FS將使用另一個數據庫爲依賴應用程序提供有關用戶的信息）。請注意，如果您打算在AD FS後面使用AD，則您的AD FS服務必須能夠訪問它並通過LDAP進行查詢，如果您的用戶登錄到其本地域，則我不確定它是否適用於您AD FS不熟悉。如果您不需要支持行業SSO標準協議（我已經提到過SAML 2.0），我不確定實施AD FS將會是一個不錯的解決方案。它迫使你以某種方式工作，這並不總是那麼舒服。