.net 4.0 Web SSO的自定义STS

.net 4.0 Web SSO的自定义STS,.net-4.0,wif,saml-2.0,.net 4.0,Wif,Saml 2.0,我们有一个面向Internet的Web应用程序正在运行,最近我们公司与拥有另一个网站的第三方公司达成了一些协议。我们的想法是为现有客户提供访问此外部网站的权限。我们的用户将单击解决方案中的内部链接,该链接将打开一个新的浏览器窗口,其中包含第三方站点。用户无需在第三方公司网站上再次验证。 我们已经同意为我们的用户发行SAML2代币,第三方网站使用一组声明来查询并向我们的用户呈现个性化视图 在我们的场景中很重要的一点是,当用户决定访问第三方网站时,他们已经在我们的网站中进行了身份验证 实现这一切的最

我们有一个面向Internet的Web应用程序正在运行,最近我们公司与拥有另一个网站的第三方公司达成了一些协议。我们的想法是为现有客户提供访问此外部网站的权限。我们的用户将单击解决方案中的内部链接,该链接将打开一个新的浏览器窗口,其中包含第三方站点。用户无需在第三方公司网站上再次验证。 我们已经同意为我们的用户发行SAML2代币,第三方网站使用一组声明来查询并向我们的用户呈现个性化视图

在我们的场景中很重要的一点是,当用户决定访问第三方网站时,他们已经在我们的网站中进行了身份验证

实现这一切的最佳方式是什么? 我正在考虑使用WIFSDK实现一个定制STS来生成那些SAML2令牌,然后使用HTTPPOST(cookie)将其传递到第三方站点。如果这是正确的方法,那么有什么建议吗? ADF会有什么不同吗


感谢您的帮助

听起来您将扮演身份提供者的角色-负责处理用户的“手动”身份验证并生成SAML响应,以将用户SSO发送到第三方网站

实现你自己的IDP不是微不足道的(有很多要理解),所以除非你把它作为一个开发项目放在心上,否则你可能想考虑一个像微软的ADFS,PoalAlgor(我为谁工作)或者ping身份。


由于您特别询问了ADF,它本机支持将Active Directory作为用户存储库,并且其声明转换引擎具有一些有趣的功能(如果您遇到复杂的SP IdP链接场景)。除了SAML之外,它还支持WS-Federation,这对于与Microsoft堆栈中的其他产品的集成非常重要。

听起来您将扮演身份提供者的角色-负责处理用户的“手动”身份验证并生成SAML响应,以将用户SSO提供给第三方网站

实现你自己的IDP不是微不足道的(有很多要理解),所以除非你把它作为一个开发项目放在心上,否则你可能想考虑一个像微软的ADFS,PoalAlgor(我为谁工作)或者ping身份。


由于您特别询问了ADF,它本机支持将Active Directory作为用户存储库,并且其声明转换引擎具有一些有趣的功能(如果您遇到复杂的SP IdP链接场景)。除SAML外,它还支持WS-Federation,这对于与Microsoft堆栈中的其他产品集成非常重要。

如果您的应用程序是ASP.NET,请将您的应用程序连接到ADFS

因此,要访问您的应用程序,用户必须登录

然后,对于到第三方应用程序的链接,使用IDP启动的场景()。这将向第三方应用程序发送SAML2令牌。ADFS将为您处理SSO


为此,您必须将第三方应用程序配置为SAML应用程序,而不是WS-Fed应用程序

如果您的应用程序是ASP.NET,请将您的应用程序连接到ADFS

因此,要访问您的应用程序,用户必须登录

然后,对于到第三方应用程序的链接,使用IDP启动的场景()。这将向第三方应用程序发送SAML2令牌。ADFS将为您处理SSO


为此,您必须将第三方应用程序配置为SAML应用程序,而不是WS-Fed应用程序

我同意你的意见,我不想走那条路。。谢谢我同意你的意见,我不想走那条路。。谢谢