我花了相當一段時間看着Windows Identity Foundation。我甚至在MSDN上閱讀了一本書的幾章。Windows身份基礎僅適用於內部應用程序/站點?
但我仍然困惑的一兩件事。是WIF適用於面向公衆的網站身份驗證,或者這是主要針對對intranets/sharepoint網站,一些與在用戶受到integrated windows auth/active directory或類似的東西確定的內部域名交易。目前,我們有許多用於我們公司的網站,用戶登錄並使用forms authentication/custom asp.net membership provider對數據存儲進行身份驗證。是否可以用WIF來替換這個機制?如果是這樣,沒有人有鏈接到這樣的教程。
我試圖尋找沿着這些路線的任何信息,但它已經很難找到。
原則上,沒有什麼關於Windows身份驗證基礎,使得它不適合用在「面向公衆」網站,WIF是不是,把自己綁在一個特定的認證機制,無論是。但是,如果您正在考慮將Active Directory聯合身份驗證服務用作身份提供程序,則問題在於針對AD的身份驗證用戶將是您唯一的選擇,因爲這是它支持的一切(儘管您可以插入自定義屬性存儲區以從某些其他數據存儲)。您的WIF信賴方(即您的網站)不一定關心用戶如何進行身份驗證,但只是他們通過其信任的IDP進行身份驗證。
所以你的問題可能不是那麼的「WIF使能」的網站,因此,它可能會發現,支持對超過Active Directory的其他一些認證兼容IDP的更多問題,以便您可以使用數據存儲您目前用於驗證用戶身份。它可以使用ADFS爲您的WIF依賴方和SAML2 IDP像Shibboleth之間的「橋樑」(一個依賴方的安全令牌服務器),可以使用數據庫來驗證用戶身份,但在配置這樣一個系統是一個顯著的挑戰等等您必須權衡您的用戶可能從單點登錄到您的應用程序所帶來的好處,以抵禦設置和維護此類系統所需的大量工作。
是 - WIF適合面向公衆的網站驗證。 ADFS v2.0僅針對AD進行身份驗證。但是,您可以編寫一個自定義STS,以對照您喜歡的任何內容進行身份驗證。在你的情況下,使用數據存儲,看看Identity Server,它對SQL DB進行驗證。
看一看:
所以,WIF是主要在一起選擇使用AD? –
正如我在我的答案提,沒有_technical_屏障阻止您設計一個系統,允許用戶與除了AD以外的憑證存儲進行身份驗證,但由於微軟提供了一個全功能的IDP-STS在ADFS只會對廣告進行身份驗證那麼它可能是最簡單,因而也是最常見的路徑。其他選擇需要更多的努力或費用,因爲您的選擇是建立自己的STS,使用像Shibboleth這樣的額外IDP並橋接它或投資第三方商業選項,如PingFederate(我對此一無所知)。 –