클레임 기반 인증 - SharePoint 및 일반적으로

Question

모두는

나는 클레임 ​​기반 인증 주위에 독서를 많이하고 아직도 조금 혼란 스러워요했습니다. 나는 특히 SharePoint 2010/2013과 관련되어 있지만 일반적으로 (즉 ASP.NET) 내 이해를 강화하려고 노력하고 있습니다.

다음과 같이 기술 용어의 다양한 조각의 나의 이해는 다음과 같습니다

• WIF (Windows의 신원 재단) - ID 자격 및 건물 사용자 지정 STS의 소비를 위해 사용되는 .NET 라이브러리 (API를 세트)

• 의존 당사자 - 클레임의 '소비자'(즉, SharePoint, ASP.NET 웹 사이트 등). 클레임은 STS (IP-STS 만?)를 통해 제공됩니다.

• STS (보안 토큰 서비스) - 보안 토큰을 발행하는 특수 웹 서비스입니다. 두 가지 맛이 나옵니다. 일부 STS는 동시에 두 가지 맛일까요?

  • RP-STS (파티 보안 토큰 서비스를 의존)
  • IP-STS (ID 공급자 보안 토큰 서비스)

• 신뢰할 수있는 ID 공급자 계획 (SharePoint 용어) - AKA. IP-STS.

• SharePoint 2010/2013 STS - RP-STS로만 작동하는 WIF를 사용하여 개발 된 SharePoint 서비스 응용 프로그램입니다. 사용자가 구성 할 수있는 다수의 신뢰할 수있는 ID 공급자 (IP-STS)에 대한 플러그 가능한 집계 지점 역할을합니다. 필요한 경우 WIF를 사용하여 손으로 제작할 수 있습니다.

• ADFS 2.0 - Active Directory 인스턴스에 대한 orgnanisation을 연합하기 위해 특별히 설계된 Windows 역할. WIF를 사용하여 구축 된 IP-STS 종점을 노출합니다. ADFS 2.0에 대한 나의 이해는 다른 ID 공급자를 '집계하는'것을 허용하지 않는다는 것입니다. SSO를 지원하기 위해 로컬이 아니 어서 연합 될 필요가있는 특정 AD 인스턴스에 대해 인증 할 수 있습니다 .

• Windows Azure ACS 2.0 - 구성된 타사 ID 제공 업체 (예 : Microsoft 계정, Google, Facebook, ADFS 2.0)를 연합하기위한 서비스입니다. 의존 당사자와 같은 역할을하는 다른 Identity 공급자를위한 플러그 가능한 집계 지점 역할을합니다. WIF를 사용하여 구축 된 IP-STS 종점을 노출합니다. 집계하는 ID 공급자는 반드시 IP-STS는 아니지만 ACS 2.0은 내장 된 IP-STS를 사용하여 Claims를 통해 모든 것을 노출합니다.

셰어 2,013분의 2,010 질문 :

내 주요 문제는 내가 거의 당신이 이를 교체 할 경우과 같이 ADFS 2.0 및 SharePoint에 대해 이야기 몇 가지 기사를 본 것입니다 내장 된 SharePoint 2010의/2013 STS with ADFS 2.0! 이것이 나의 독서 일뿐입니다. 그러나 그것은 나의 이해를 혼란스럽게 만들었습니다.

1. 실제로 이것을 할 수 있습니까? 정말 원한다면 당신이 할 수 없었던 이유는 없지만 SharePoint STS를 비활성화하고 수동 구성을 많이해야한다고 가정합니다.
2. 왜 이것을하고 싶습니까?

2.1. AD 인증은 이미 SharePoint STS에서 OOTB Trusted Identity Provider 옵션으로 지원되며 대신 ADFS 2.0을 사용하려는 경우 블로그 게시물을 본 신뢰할 수있는 ID 공급자 (IP-STS)로 추가 할 수 있습니다.

2.2. ADFS 2.0에 대한 내 설명을 토대로 SharePoint STS를 변경하면 덜 유연한 솔루션을 제공하게됩니까?

제표 :

• 당신은 셰어 STS는 ADFS 2.0 신뢰할 수있는 ID 공급자 (IP-STS)뿐만 아니라, 나 대신 같은 지역 AD를 사용하도록 구성 할 수 있습니다.
• Windows Azure ACS 2.0을 신뢰할 수있는 ID 공급자 (IP-STS)로 사용하도록 SharePoint STS를 구성 할 수 있습니다. 이렇게하면 WIF를 사용하여 자신의 IP-STS를 개발하지 않고도 타사 인증 공급자를 지원하는 것이 매우 쉽습니다.

ASP.NET WIF 질문 :

1. 나의 이해는 신뢰 협상을 수행하기 위해 요구는 RP-STS는 IP-STS 이야기한다 교환한다는 것입니다. 이 올바른지?
2. 그러므로 WIF를 사용할 때 클레임 기반 ASP.NET 웹 응용 프로그램 (신뢰 당사자)을 구축하는 맥락에서 개발/재사용하고 RP-STS를 응용 프로그램에 포함시키고이 응용 프로그램과 트러스트 관계를 가질 수 있도록 구성해야합니다 IP-STS? WIF를 사용하는 IP-STS에서 Identity를 직접 가져올 수 없습니까?

이 글을 쓰면 도움이되었지만 부정확 한 점/단순화/철저한 진실에 대한 도움을 주시면 감사하겠습니다.

감사

마이클 테일러

Answer 1

SP에서 STS는 RP-STS는, 즉 그것이 대해 인증하도록 크리 덴셜 저장을하지 않는 것이다. 그렇기 때문에 IP-STS 인 ADFS와 연계해야합니다. 즉, 도메인의 AD에 대해 인증합니다.

ADFS는 RP-STS 또는 IP-STS 일 수 있습니다. 당신은 경로 - SP 응용 프로그램을 가질 수 있습니다. -> SP STS -> ADFS (RP) -> ADFS (IP) -> AD.

SP와 페더레이션하는 IP-STS는 ADFS 일 필요는 없습니다. WS-Federation 프로토콜을 지원하는 모든 것이 될 수 있습니다. OpenAM, PingIdentity, Azure ACS. 요점은 체인의 끝에서 인증을위한 자격 증명 저장소가 있어야한다는 것입니다.

이 신임 정보 저장소는 AD 일 필요는 없습니다. ADFS -> IdentityServer -> SQL Server로 이동합니다.

ADFS는 다양한 IP-STS와 연합 할 수 있습니다. 사용자는 인증에 사용할 것을 선택할 수 있습니다.

ADFS는 연합 프로토콜로 SAML2 및 WS-Fed를 모두 지원합니다. SP RP-STS는 WS-Fed 만 지원합니다.

ADFS의 이전 버전 (예 : 1.0)은 Windows Server 2008에 설치된 버전입니다. ADFS 2.0을 다운로드해야합니다. 안타깝게도 ADFS라는 용어를 사용하지만 ADFS 1.0을 참조하는 블로그 게시물이 많이 있습니다. 주의 - ADFS 1.0은 완전히 다른 짐승입니다.

WIF는 .NET 클래스 집합입니다. 그것은 STS가 아닙니다. 당신은 WIF -> IP-STS 또는 WIF -> RP-STS -> IP-STS 등으로 갈 수 있습니다.

이 질문에 대한 답이 되겠지 만,

는 업데이트 : 그 통합 WIF 알고

유일한 STS 년대는 ADFS와 IdentityServer 있습니다. 위에서 언급 한 대부분은 Java 기반입니다.

IWA를 통해 ADFS를 선택하는 이유는 둘 다 AD에 대해 인증되지만 ADFS 만 SSO 및 연합 기능을 추가하기 때문입니다. 또한 ADFS는 모든 클레임 기반 배관 (SAML 토큰 등)을 제공합니다.

ADFS를 병합하면 여러 자격 증명 저장소에 대해 인증하는 기능을 제공합니다. 그러나 ADFS의 인스턴스에 대해 인증을 선택하면 AD 저장소가 사용됩니다. ADFS를 설치하면 도메인에 AD의 인스턴스를 찾습니다. 그것이 사용하는 것입니다.