被動聯合中的用戶管理

Question

我已經使用Windows Identity Framework（WIF）創建的IP-STS和三個單獨的依賴方在一個聯合下。 Federated Single Sing On和Sign Out方案正常工作。這是作爲演示準備的。

我的問題是什麼？

在生產中，我必須統一身份屋頂下的3個不同的Web應用程序。目前所有這些應用程序都有不同的身份驗證和授權機制，在數據存儲中，爲特定用戶分配了不同的一組表格。 對於登錄和註銷，一切都很清楚。問題在於創建新用戶。 在這些場景中是否有任何通用模式。我爲什麼這麼問。當你在這種情況下更深入時，你會發現這並不是那麼簡單。對於第一個Web應用程序，我們有一組已經被支持的字段（其中大部分是來自DB的枚舉），來自第二組的其他字段......因此，我需要從所有依賴方都擁有此過程的所有數據。如何做到這一點？一種方法是使用IFRAMES或類似的東西？ 另外，由於依賴於用戶實體的獨立應用程序中的關係表，我需要在每個應用程序中都有新用戶。它看起來非常複雜，我很好奇，這種情況下有沒有衆所周知的模式。我確信我不是第一個必須在一個身份管理下統一完全不同的應用程序的人。

已更新： 我發現這是供應管理或聯合供應的一部分。此外，我發現它可以通過與SAML協議並行發展的SPML協議來實現。 WIF中是否有任何協議或點用於這些目的？

問候， Rastko

Answer 1

SPML不受ADFS/WIF支撐。 SPML通常由Identity Manager提供，因爲它是供應協議。 ADFS是STS而不是身份管理器。

WIF不支持SAML - ADFS。

有一個SAML CTP（預覽）爲WIF - Announcing the WIF Extension for SAML 2.0 Protocol Community Technology Preview。

您也可以使用其他開源產品，例如.NET Oracle OpenSSO Fedlet。

更新

回覆。 SPML - 是的，這是可能的 - 這只是一個協議。有一個開源的Java庫，C＃開源和商業版本Softerra™ SPML2 Library。

你可以使用WIF進行一些RP，有些使用SAML--這只是一個配置問題。要在同一個RP中都有困難。

ForgeRock生產OpenAM產品。它沒有ADFS的聲明規則語言豐富性，但工作正常。但是，配置可能會非常棘手。如果您擁有Windows Server許可證，則ADFS是免費的。