針對跨平臺和域網站的SSO解決方案的建議

Question

我現在感覺有點不知所措，因爲我正在爲如何爲我正在開展的項目構建SSO解決方案。我知道我需要一個集中的登錄站點，但是，我想要輸入我應該使用的框架來實現此目的。我一直在閱讀關於Windows Identity Foundation（WIF）的一些信息，但缺少文檔和代碼示例相當令人失望。 DotNotOpenAuth聽起來像社區比WIF有更多的用途，但是，我不確定這是我使用的正確框架，因爲我不打算讓第三方帳戶用於登錄。

有多個用戶數據存儲也要考慮在內;活動目錄和一個SQL Server數據庫。

我真的不在乎我使用的框架，只要它簡單直觀;我不想要一個過於複雜的解決方案。文檔和樣本也是一個優點！我已經有創建自定義角色提供者和會員提供者的經驗;那些是一件輕而易舉的事情。

這裏是一個非常快的視覺我處理結構：

Answer 1

看一看SAML。它旨在解決SSO。你也可能想看看OpenID。

有那裏的企業產品，如CA Site Minder或IBM Tivoli這種類型的東西。它們並不便宜，因爲爲此制定定製解決方案將是相當成功的。

Answer 2

參照：Claims Based Identity & Access Control Guide和Identity Developer Training Kit。那裏有WIF樣品。

就你想達到的目標而言，ADFS v2.0將爲你提供最大的方式，但它只能對AD進行身份驗證。對於SQL服務器，請使用IdentityServer，然後聯合ADFS和IdentityServer。

Answer 3

如果你是基於.NET的話，那麼.NET 4.5（包括WIF）是最好的選擇。

但框架將是你最簡單的問題。構建這種安全基礎設施很困難。以nzpcmad的回答爲出發點，看看書和idenitity服務器。

Answer 4

就跨平臺而言，SAML傾向於領先一羣。有很多實現（java，php，perl）。正如Dominick（@leastprivilege）提到的，如果每個應用程序都是基於.Net的，則通過WIF的WS-Fed即可。 （順便說一句，多米尼克是男人當談到WIF - 肯定擊中了他的博客和論壇，如果你打算探索這條路線）

OpenID和OAuth的是，你會聽到的替代品。他們有點不太安全（信任是用戶，而不是基礎設施），你會發現，你將不得不以支持登錄使用自己的用戶存儲構建的供應商。不管你選擇的路線的

，準備做大量的閱讀和學習。看看上面的維基百科文章的這些技術是如何工作的一個很好的概述，而不要害怕問問題..