WS-Federation vs System.DirectoryServices

Question

我有點困惑。如果有WS-Federation允許我的webservice的用戶通過LDAP進行身份驗證有什麼不同，那麼如果我在我的服務代碼中使用WS-Federation或System.DirectoryServices名稱空間？

謝謝

Answer 1

他們之間沒有比較。

WS-Federation是一種支持單點登錄場景的協議。它基本上支持兩個配置文件，一個用於認證使用稱爲Active Profile的Web服務的客戶端，另一個用於在Web應用程序中認證客戶端的被動模式（使用http）。

爲聯合服務Active Directory是建立在Active Directory中的頂級認證與WS聯盟用戶的擴展。

DirectoryServices是您用於直接從.NET應用程序與Active Directory通信的api。與認證無關。

Regards， Pablo。

Answer 2

最主要的是WS-Federation將身份驗證委託給令牌頒發者。這使您可以將目錄服務認證碼放入令牌頒發者，並設計「不關心」認證實現的服務。您也可以讓您的客戶端通過具有不同實現的令牌頒發者的多個端點進行身份驗證。因此，例如，您可以公開通過Windows身份驗證或用戶名/密碼或其他機制進行身份驗證的終端，但配置爲通過聯合信任令牌頒發者的其他服務不需要關心如何擴展令牌簽發身份驗證機制。

你甚至可以「鏈」，以使令牌發放方被配置爲使用聯邦本身，對特定的目的，委託令牌頒發給一個完全不同的令牌頒發者聯合會。所以，你可以用這種方式來實現使用第三方可信賴的令牌發行者的身份驗證，比如「使用Facebook登錄」，雅虎等等。可行的方式是在你的服務上設置聯邦來信任你的令牌發行者，並且你的令牌發行者是設置使用聯邦信任Facebook令牌。這還允許在DMZ中有一個令牌頒發者，在您的域中有另一個令牌頒發者，以及在後端的域中有服務的架構，並且您可以讓Web服務器能夠使用後端服務進行身份驗證，而無需任何網絡信息或其他與安全相關的信息您的域名可供DMZ以外的潛在黑客使用。