Windows身份基礎 - 第三方安全令牌服務器

Question

我試圖讓我的頭繞過所有基於Windows身份基礎魔法的索賠。

假設我不想使用ADFS，有一點我不清楚的是，是否最好使用WIF來推出自己的STS來完成一些艱苦的工作或依靠第三方。

而如果是第三方選項 - 什麼第三方STS的是有

Answer 1

這一切都取決於您的認證信息是當然的。如果您沒有使用廣告，但正在使用其他東西，則由供應商提供STS。

如果所有你想要的都是數據庫驅動的東西，那麼這裏有一些東西，它取決於你開發定製它時最開心的開發平臺。

如果您使用.NET，那麼您可以使用StarterSTS作爲起點（不是雙關語）。

Answer 2

Safewhere*Identify是在WIF上構建的第三方STS，但支持附加協議並具有比ADSF2更易插入的體系結構。

完全披露：我爲Safewhere工作，並且大量參與架構和開發產品。

Answer 3

你應該從來沒有推出自己的STS（如果你可以避免它）。創建一個適合開發者演示的STS是微不足道的，但是世界級的企業級口碑STS是一項不小的任務。除了ADFS和Safewhere的STS（其中馬克提到的），下面的產品包括STS（或他們說，他們支持WS-信託這意味着此）：

• 的Novell Access Manager的
• 坪身份的PingFederate
• Symlabs聯合身份套房
• OpenSSO的
• Vordel
• Shibaleth
• 紅帽JBoss的標識（阿爾法）
• Oracle身份聯邦（我對是否該產品支持WS-信託目前還不清楚，但如果沒有我會感到很驚訝。）

此外，Java框架地鐵就像是WCF + WIF。它擁有創建STS所需的一切，你不應該這樣做;但是，如果您對這些產品進行評估並發現它們不能滿足您的需求，那麼將自己推出是您唯一的選擇。

Answer 4

特拉維斯，

許多你列出的產品都是從身份管理空間面熟。特別是Novell和Oracle ......但其中大部分都是整個堆棧或套件的一部分。而且他們都需要身份存儲和身份驗證服務，對吧？

例如，要使用Novell或Oracle或Ping，您仍然需要實現目錄或其他用戶存儲，以某種方式驗證用戶（例如，使用產品提供的服務的IWA或登錄頁面）以及然後將該用戶聯合到基於WIF的RP，對吧？

你會如何將這些建議與自己動手做的ADFS實現進行比較？

我之所以問...

我們已經建立基於權利要求中的核心架構和產品集，使用WIF消耗這些說法。我們現在正在考慮將ADFS部署爲STS，並且希望先退後一步，並考慮是否有辦法加速真正的產品部署。我們一直在使用starterSTS ...

我們需要支持多種認證選項：1）IWA通過我們的企業內部用戶的內部AD進入RP 2）爲我們客戶的用戶提供登錄方式使用我們擁有和控制的用戶作爲他們的IDP（假設他們有一個新的目錄，與我們的內部AD分開），以及3）我們的客戶驗證用戶身份並加入我們的外部IDP。

選項2是我們需要一些身份驗證服務的...因此，我們無法逃脫100％聯合SSO與外部IDP，任何第三方選項都必須包含身份驗證服務。

我簡要地看了一下safewhere網站，並沒有看到關於使用WIF的STS替代方案的任何可用細節。我看到一些聯邦產品和一個WAM產品......他們提供的STS究竟是什麼？

感謝您的任何輸入。