什麼是Shibboleth服務提供商，我可以並應該爲Windows Azure MVC3 Web角色安裝它嗎？

Question

原諒我我是一個Shibboleth/SAML 2 noob。希望這些都是直截了當的問題。

I recently posted asking whether we could do Shib/SAML 2 integration with Azure ACS。答案讓我相信我們不能使用ACS，而是使用低級別的WIF + SAML2擴展CTP庫來實現某些功能。

在一個相關的問題上，我打電話給我們的一個分支機構詢問他們是否可以使用他們的InCommon Federation會員身份將我們的應用程序添加爲服務提供商。他們問我是否要在承載我們MVC3網絡角色的Azure機器上安裝Shibboleth服務提供程序。

直到他們提到這個，我不知道有一個Shibboleth Service Provider installer。根據我迄今爲止關於SAML2所讀到的一切，我的印象是，我們的mvc3 web角色是服務提供商。

那麼，什麼是Shibboleth服務提供商？它有什麼作用？將它添加到我們的Azure實例中會增加什麼價值？我必須擁有它才能抵抗Shibboleth的SSO嗎？或者我們可以做純saml2嗎？

我的首選項是不安裝它，因爲它必須安裝在每個角色實例上，這會使部署花費更長時間。

Answer 1

在這個問題的Web應用程序的前面有一些關於使用Shibboleth 2進行SSO的信息：In order to implement SAML do I need Shibboleth SP installed on my host?;答案是linux /以Java爲中心。

Shibboleth SP是一款產品，您可以在現有Web應用程序前面使用，或者甚至可以在可添加到現有Web應用程序的特定SSO登錄URL前面使用。如果您的應用程序已經有用戶的概念，那麼您可以簡單地瞭解如何將身份提供商的用戶屬性映射到您的應用程序用戶。您和您的附屬公司需要想出您想要做什麼來將身份提供者身份映射到您的應用程序身份。您可能有一些共享數據，或者您可能需要在用戶首次使用SSO時設置該數據。

Shibboleth SP提供的價值在於它是一種實現您可能需要的所有SAML 2.0交互的產品。使用Shibboleth配置SAML 2.0 Web-SSO非常容易，並且Shibboleth模塊可以向包含身份提供商將向您發送的SAML 2聲明中的所有屬性的HTTP請求添加變量。

如果您可以使用Azure ACS完成所有這些工作，那麼不需要安裝Shibboleth。我有限的理解是，Azure ACS可能已經支持SAML 2.0 Web SSO：http://saml.xml.org/news/windows-azure-gains-single-sign-on-support