1. Dom
  2. Pytanie i odpowiedź
  3. Roszczenia Based Authentication - SharePoint i ogólnie

Roszczenia Based Authentication - SharePoint i ogólnie

2013-01-10 45 views
9

wszystkimRoszczenia Based Authentication - SharePoint i ogólnie

Robiłem dużo czytania całego roszczenia oparte uwierzytelniania i nadal jestem trochę zdezorientowany. Próbuję utrwalić moje zrozumienie, w szczególności związane z SharePoint 2010/2013, ale także ogólnie (tj. ASP.NET).

Moje rozumienie różnych kawałków terminologii technologii jest następująca:

  • WIF (Identity Foundation Windows) - biblioteki .NET (zestaw API), które są wykorzystywane do spożywania Identity roszczeń i budowa własnego STSS itp.

  • Strona ufająca - "roszczenia konsumenckie" (np. SharePoint, witryna sieci Web ASP.NET itp.). Roszczenia są zapewniane przez STS (tylko IP-STS?).

  • Usługa STS (Security Token Service) - wyspecjalizowane usługi internetowe, które wystawiają tokeny zabezpieczające. Występuje w dwóch smakach, a niektóre STS to prawdopodobnie oba smaki w tym samym czasie?

    • RP-STS (strona ufająca Security Token Service)
    • IP-STS (Identity Provider Security Token Service)

  • Trusted Identity Provider (terminologia SharePoint) - AKA. IP-STS.

  • SharePoint 2010/2013 STS - aplikacja usługowa SharePoint opracowana przy użyciu WIF działającego tylko jako RP-STS. Działa jako punkt agregacji wtyczek dla wielu konfigurowalnych Zaufanych dostawców tożsamości (IP-STS). Można je ręcznie zbudować za pomocą WIF, jeśli jest to wymagane.

  • ADFS 2.0 - rola systemu Windows zaprojektowana specjalnie w celu stowarzyszenia organizacji z tylko instancją Active Directory. Udostępnia punkt końcowy IP-STS zbudowany przy użyciu WIF. Moje zrozumienie programu ADFS 2.0 polega na tym, że nie pozwala on na "agregację" innych dostawców tożsamości - pozwala tylko na uwierzytelnianie się na konkretnej instancji AD, która może nie być lokalna dla użytkownika, a zatem musi być stowarzyszona w celu obsługi rejestracji jednokrotnej. .

  • Windows Azure ACS 2.0 - usługa przeznaczona specjalnie do łączenia dowolnych skonfigurowanych zewnętrznych dostawców tożsamości (tj. Konto Microsoft, Google, Facebook, ADFS 2.0). Działa jako punkt agregujący dla innych Dostawców Tożsamości, dla których działa trochę jak strona ufająca. Udostępnia punkt końcowy IP-STS zbudowany przy użyciu WIF. Dostawcy tożsamości, których gromadzi, niekoniecznie muszą korzystać z IP-STS, ale ACS 2.0 udostępnia wszystko poprzez Roszczenia za pomocą wbudowanego protokołu IP-STS.

SharePoint 2010/2013 pytania:

Moim głównym problemem jest to, że widziałem kilka artykułów mówiących o 2,0 ADFS i SharePoint, która prawie odczytane jako jeśli jesteś zastępując wbudowanej SharePoint 2010/2013 STS z programem ADFS 2.0! Mam nadzieję, że to tylko moje czytanie, ale pomieszało mi to zrozumienie.

  1. Czy możesz to zrobić? Nie widzę powodu, dla którego nie mógłbyś, gdybyś naprawdę chciał, ale zakładam, że musisz wyłączyć SharePoint STS i zrobić wiele ręcznych konfiguracji?
  2. Dlaczego chcesz to zrobić?

2.1. Uwierzytelnianie AD jest już obsługiwane jako opcja dostawcy zaufanej tożsamości OOTB przez SharePoint STS, a jeśli chciałbyś używać ADFS 2.0, możesz dodać to jako zaufany dostawca tożsamości (IP-STS), dla którego widziałem posty na blogu.

2.2. Na podstawie mojego opisu ADFS 2.0, zmiana go na SharePoint STS dałaby ci mniej elastyczne rozwiązanie?

stwierdzeń:

  • można skonfigurować SharePoint STS używać ADFS 2,0 A Trusted Identity Provider (IP-STS), a także, czy zamiast reklamy lokalnej.
  • Możesz skonfigurować program SharePoint STS do korzystania z usługi Windows Azure ACS 2.0 jako zaufanego dostawcy tożsamości (IP-STS). Ułatwiłoby to obsługę dostawców uwierzytelniania stron trzecich bez rozwijania własnego IP-STS za pomocą WIF.

ASP.NET WIF pytania:

  1. mi się, że w celu przeprowadzenia negocjacji zaufania i roszczenia wymieniać RP-STS musi porozmawiać z IP św. Czy to jest poprawne?
  2. Dlatego w kontekście budowania aplikacji sieci Web ASP.NET opartej na roszczeniach (Relying Party) przy korzystaniu z WIF zostałbyś opracowany/ponownie użyty i dołączono RP-STS do aplikacji i konfigurowałeś go tak, aby miał relację zaufania z IP-STS? Jeśli nie, możesz uzyskać Identity bezpośrednio z IP-STS przy użyciu WIF?

tylko pisanie to pomogło mi to z głowy, ale każda pomoc na inaccuracices/nad simplications/bezwarunkowe nieprawdy będzie wdzięcznością doceniane!

Pozdrawiam,

Michael Taylor

Źródło

2013-01-10 Michael Taylor

Odpowiedz

6

SP STS jest RP-STS to znaczy, że nie ma danych logowania do uwierzytelnienia przed sklep. Dlatego musisz połączyć to z ADFS, który jest IP-STS, tj. Uwierzytelnia się przeciwko AD w swojej domenie.

ADFS może być urządzeniem RP-STS lub IP-STS, np. możesz mieć ścieżkę - aplikację SP. -> SP STS -> ADFS (RP) -> ADFS (IP) -> AD.

IP-STS, zrzeszający się z SP, nie musi być ADFS - może to być wszystko, co obsługuje protokół WS-Federation, np. OpenAM, PingIdentity, Azure ACS. Najważniejsze jest to, że na końcu łańcucha musi istnieć magazyn danych uwierzytelniających do uwierzytelnienia.

Ten magazyn danych logowania nie musi być AD, np. ADFS -> IdentityServer -> SQL Server.

ADFS można stowarzyszyć z wieloma różnymi IP-STS. Użytkownik może wybrać, którego użyć do uwierzytelnienia.

ADFS obsługuje zarówno SAML2, jak i WS-Fed jako protokoły federacyjne. SP RP-STS obsługuje tylko WS-Fed.

Poprzednia wersja programu ADFS (tj. 1.0) to wersja zainstalowana w systemie Windows Server 2008. Musisz pobrać program ADFS 2.0. Niestety istnieje wiele wpisów na blogu, które używają terminu ADFS, ale które odnoszą się do programu ADFS 1.0. Uwaga - program ADFS 1.0 to zupełnie inna bestia.

WIF to tylko zestaw klas .NET. To nie jest STS. Możesz przejść na WIF -> IP-STS lub WIF -> RP-STS -> IP-STS itp.

Mam nadzieję, że to odpowiadało na niektóre z twoich pytań, ale odpal je, jeśli coś jeszcze nie jest jasne.

Aktualizacja:

Jedynymi STS użytkownika znam tego naniesienie WIF są ADFS i IdentityServer. Większość z wyżej wymienionych jest opartych na Javie.

Powodem wyboru programu ADFS na IWA jest to, że zarówno uwierzytelnianie przeciwko AD, jak i tylko ADFS dodaje funkcje SSO i federacji. Ponadto program ADFS zapewnia całą instalację hydrauliczną opartą na roszczeniach - token SAML itp.

Po stowarzyszeniu programu ADFS można zapewnić uwierzytelnianie w wielu magazynach poświadczeń. Ale jeśli zdecydujesz się uwierzytelnić na wystąpienie programu AD FS, korzysta z repozytorium AD. Podczas instalowania programu ADFS znajduje wystąpienie AD w swojej domenie. To ten, którego używa.

Źródło

2013-01-10 18:27:14 nzpcmad

+0

Dzięki za wpis. Bardzo pomocne. 1. Tak więc mówisz, że nigdy nie powinieneś używać programu SharePoint RP-STS dla programu ADFS 2.0 działającego jako STS-RP. Nigdy w ten sposób: (Usuń SP STS) aplikacja SP -> ADFS (RP-STS) -> Niezależnie Zawsze coś takiego: SP app -> SP STS -> ADFS/ACS/OpenAM itp ten dokładnie to, co myślałem. 2. Chcesz powiedzieć, że podobnie jak w przypadku Azure ACS 2.0, program ADFS 2.0 może być również używany do łączenia się z większą liczbą IP-STS? Po co nazywać to ADFS, jeśli nie chodzi tylko o specyfikację AD - dlaczego nie Windows ACS? :) 3. Wiedziałem, że należy unikać ADFS 1.0, dlatego specjalnie powiedziałem 2.0! :) –

+0

4. WIF to tylko zestaw klas .NET, a nie STS. Tak, zdaję sobie z tego sprawę, po prostu pytałem: "W jaki sposób powyższe STS zostały zbudowane przy użyciu kodu WIF. Rozumiem, że ADFS 2.0 STS był i był ACS 2.0 STS. Dziękujemy za wyjaśnienia dotyczące WIF -> IP-STS! Jakie są zalety robienia WIF -> RP-STS -> IP-STS? Wielkie dzięki za poświęcony czas! –

+0

"SPS SPS to RP-STS, tzn. Nie ma magazynu referencyjnego do uwierzytelnienia, dlatego należy go połączyć z programem ADFS, który jest IP-STS, tj. Uwierzytelnia się przeciwko AD w jego domenie." Ale _WHY_ czy zdecydowałbyś się uwierzytelnić przy użyciu usługi ADFS 2.0 STS, jeśli mógłbyś wybrać uwierzytelnianie systemu Windows w opcjach konfiguracji w ramach uwierzytelniania opartego na roszczeniach, chyba że wychodzisz poza sieć? –

 Powiązane problemy

  • Brak powiązanych problemów^_^