C# 使用Windows身份基础的单点登录

客户端有2个网站（site1.com、Site2.com）和一个windows应用程序。这两个网站都对存储在sql server数据库中的用户数据使用表单身份验证（每个网站的数据库不同）。Windows应用程序使用Windows标识（AD）对用户进行身份验证。在不久的将来，可能会添加更多的网站/应用程序

客户端希望为其所有应用程序实现单点登录。他们希望将SSO服务构建为一个组件，可以以更低的成本插入任何网站/应用程序

由于所有网站/应用程序都有自己的用户存储，我们如何使用WIF开发SSO组件。我已经阅读了WIF，但无法确定每个网站/应用程序和SSO服务的责任。如何在STS中使用SAML

请建议我最好的方法&任何好的链接都可以阅读

谢谢，

---

@Paul

WIF的正常STS是ADFS。这支持SAML。WIF本身不支持SAML

ADFS使用AD进行身份验证，而不是DB

---

要使用DB，请查看。

正常的SSO场景将包括被动联合的实现，这意味着您将拥有一个STS，该STS将具有身份验证机制，无论是表单还是任何其他形式，被动提供程序可以具有多个索赔存储，将由不同RP使用。然后，您的每个站点成为您的联合提供商的RP，该提供商将向您颁发SAML令牌。在简单的步骤中，用户进入site one并尝试访问受保护的资源，如果用户未经过身份验证，则将用户重定向到FP，FP向调用RP发回SAML令牌，并且允许用户访问该资源。然后，用户单击站点2，这是同一FP的RP，随着令牌的发布，在令牌上只有一次验证过程，才能发布cookie，用户也可以访问站点2并返回站点1，而无需每次重新授权

---

希望这能有所帮助，但不要犹豫，如果需要更多信息，请进一步发布。

回复中有这么多首字母缩略词