ASP.NET SSO 및 사용자 지정 STS 작성

Question

이 내용은 내 질문에 대한 답변입니다 (ASP.NET MVC/Web API Custom Authentication). 제가받은 답변은 클레임 기반 인증 프로토콜을 조사하라고 말했고 저는 following book을 통해이 작업을 수행 할 수있는 Microsoft 기술에 대해 더 잘 이해하려고했습니다.

연결된 설명서에 따르면 Active Directory Federation Services (ADFS) 2.0을 사용하여 클레임을 발급 할 수 있습니다. 확실하지 않은 점은 사용자가 Active Directory에 저장해야하는지 여부입니다. 인증을 처리하고 사용자 정보 (사용자 이름, 비밀번호, 전자 메일 등)가 Oracle 데이터베이스에 저장되어있는 기존의 기존 응용 프로그램이있는 경우 (이전 질문에 따라) ADFS를 사용하여 소유권 주장 또는 의지를 계속 제기 할 수 있습니까? 이 기존 신청서에 본인의 클레임 발급 기관 (STS)을 구축해야합니까? Active Directory의 연맹 서비스을에 Active Directory의을 감안할 때

는 AD에 저장되어있는 사용자를 가진 것은 필요하지만이 책은 또한 다음과 같은 이미지가 보일 것입니다

및이

ADFS를 사용하려면 사용자가 Active Directory 또는 ADFS가 신뢰하는 저장소 중 하나에 계정이 있어야합니다.

내 혼란에 가중됩니다. 누군가가 이것에 대해 어떤 생각을 밝힐 수 있습니까?

Answer 1

ADFS 특성 저장소를 사용하고 특성 저장소를 쿼리하는 클레임 ​​규칙이있는 클레임 ​​공급자 트러스트를 만들 수 있습니다. 이 게시물에는 SQL에 SQL 특성 저장소를 사용하고 Oracle에 연결된 서버를 사용하는 사람이 있습니다. 또한 사용자 정의 속성 저장소를 사용하고 Oracle에서 쿼리하는 것이 좋습니다. 저는 두 가지 유형의 상점을 모두 사용했으며 시간이 지남에 따라 무엇을 관리하고 유지하려고하는지, 아니면 코드 또는 SQL을 유지해야하는지에 대한 질문을 던집니다. 나는 커스텀 애트리뷰트 스토어를 향하여 몸을 기울일지도 모른다.

http://social.msdn.microsoft.com/Forums/vstudio/en-US/3418078f-1bb5-4f5f-9d6e-6907d0222600/using-an-oracle-database-as-an-attribute-store?forum=Geneva

Answer 2

는 ADFS 2.0, 2.1 및 3.0에서는 인증에 Active Directory의 사용자를 가지고 필수입니다.

인증이 수행되면 ADFS는 모든 원본에서 사용자 정보를 검색하여 토큰을 만들 수 있습니다. 이러한 원본을 "특성 저장소"라고합니다. 다이어그램에 표시된 것처럼 ADFS는 AD, ADLDS 및 SQLServer에 대한 특성 저장소를 제공합니다. Oracle과 같은 다른 시스템에 액세스해야하는 경우 사용자 정의 속성 저장소를 작성해야합니다 (이 작업 방법에 대한 기술 예제가 있습니다).

참고 : Windows Server 2016의 ADFS 버전에서 모든 LDAP 저장소의 사용자를 인증 할 수 있습니다.