모두는 클레임 기반 인증 - SharePoint 및 일반적으로
나는 클레임 기반 인증 주위에 독서를 많이하고 아직도 조금 혼란 스러워요했습니다. 나는 특히 SharePoint 2010/2013과 관련되어 있지만 일반적으로 (즉 ASP.NET) 내 이해를 강화하려고 노력하고 있습니다.다음과 같이 기술 용어의 다양한 조각의 나의 이해는 다음과 같습니다
WIF (Windows의 신원 재단) - ID 자격 및 건물 사용자 지정 STS의 소비를 위해 사용되는 .NET 라이브러리 (API를 세트)
의존 당사자 - 클레임의 '소비자'(즉, SharePoint, ASP.NET 웹 사이트 등). 클레임은 STS (IP-STS 만?)를 통해 제공됩니다.
STS (보안 토큰 서비스) - 보안 토큰을 발행하는 특수 웹 서비스입니다. 두 가지 맛이 나옵니다. 일부 STS는 동시에 두 가지 맛일까요?
- RP-STS (파티 보안 토큰 서비스를 의존)
- IP-STS (ID 공급자 보안 토큰 서비스)
신뢰할 수있는 ID 공급자 계획 (SharePoint 용어) - AKA. IP-STS.
SharePoint 2010/2013 STS - RP-STS로만 작동하는 WIF를 사용하여 개발 된 SharePoint 서비스 응용 프로그램입니다. 사용자가 구성 할 수있는 다수의 신뢰할 수있는 ID 공급자 (IP-STS)에 대한 플러그 가능한 집계 지점 역할을합니다. 필요한 경우 WIF를 사용하여 손으로 제작할 수 있습니다.
ADFS 2.0 - Active Directory 인스턴스에 대한 orgnanisation을 연합하기 위해 특별히 설계된 Windows 역할. WIF를 사용하여 구축 된 IP-STS 종점을 노출합니다. ADFS 2.0에 대한 나의 이해는 다른 ID 공급자를 '집계하는'것을 허용하지 않는다는 것입니다. SSO를 지원하기 위해 로컬이 아니 어서 연합 될 필요가있는 특정 AD 인스턴스에 대해 인증 할 수 있습니다 .
Windows Azure ACS 2.0 - 구성된 타사 ID 제공 업체 (예 : Microsoft 계정, Google, Facebook, ADFS 2.0)를 연합하기위한 서비스입니다. 의존 당사자와 같은 역할을하는 다른 Identity 공급자를위한 플러그 가능한 집계 지점 역할을합니다. WIF를 사용하여 구축 된 IP-STS 종점을 노출합니다. 집계하는 ID 공급자는 반드시 IP-STS는 아니지만 ACS 2.0은 내장 된 IP-STS를 사용하여 Claims를 통해 모든 것을 노출합니다.
셰어 2,013분의 2,010 질문 :
내 주요 문제는 내가 거의 당신이 이를 교체 할 경우과 같이 ADFS 2.0 및 SharePoint에 대해 이야기 몇 가지 기사를 본 것입니다 내장 된 SharePoint 2010의/2013 STS with ADFS 2.0! 이것이 나의 독서 일뿐입니다. 그러나 그것은 나의 이해를 혼란스럽게 만들었습니다.
- 실제로 이것을 할 수 있습니까? 정말 원한다면 당신이 할 수 없었던 이유는 없지만 SharePoint STS를 비활성화하고 수동 구성을 많이해야한다고 가정합니다.
- 왜 이것을하고 싶습니까?
2.1. AD 인증은 이미 SharePoint STS에서 OOTB Trusted Identity Provider 옵션으로 지원되며 대신 ADFS 2.0을 사용하려는 경우 블로그 게시물을 본 신뢰할 수있는 ID 공급자 (IP-STS)로 추가 할 수 있습니다.
2.2. ADFS 2.0에 대한 내 설명을 토대로 SharePoint STS를 변경하면 덜 유연한 솔루션을 제공하게됩니까?
제표 :
- 당신은 셰어 STS는 ADFS 2.0 신뢰할 수있는 ID 공급자 (IP-STS)뿐만 아니라, 나 대신 같은 지역 AD를 사용하도록 구성 할 수 있습니다.
- Windows Azure ACS 2.0을 신뢰할 수있는 ID 공급자 (IP-STS)로 사용하도록 SharePoint STS를 구성 할 수 있습니다. 이렇게하면 WIF를 사용하여 자신의 IP-STS를 개발하지 않고도 타사 인증 공급자를 지원하는 것이 매우 쉽습니다.
ASP.NET WIF 질문 :
- 나의 이해는 신뢰 협상을 수행하기 위해 요구는 RP-STS는 IP-STS 이야기한다 교환한다는 것입니다. 이 올바른지?
- 그러므로 WIF를 사용할 때 클레임 기반 ASP.NET 웹 응용 프로그램 (신뢰 당사자)을 구축하는 맥락에서 개발/재사용하고 RP-STS를 응용 프로그램에 포함시키고이 응용 프로그램과 트러스트 관계를 가질 수 있도록 구성해야합니다 IP-STS? WIF를 사용하는 IP-STS에서 Identity를 직접 가져올 수 없습니까?
이 글을 쓰면 도움이되었지만 부정확 한 점/단순화/철저한 진실에 대한 도움을 주시면 감사하겠습니다.
감사
마이클 테일러
게시물 주셔서 감사합니다. 매우 도움이됩니다. 1. STS-RP로 실행되는 ADFS 2.0에 대해 SharePoint RP-STS를 절대로 변경하지 않을 것이라고 말합니다. 결코이 : (제거 SP STS) SP 응용 프로그램 -> ADFS (RP-STS) ->이 원하는대로 항상 뭔가 : SP 응용 프로그램 -> SP STS -> ADFS/ACS/OpenAM 등 이 정확히 내가 생각한 것입니다. 2. Azure ACS 2.0과 마찬가지로 ADFS 2.0을 사용하여 더 많은 IP-STS에 연합 할 수 있다고 말하고 있습니까? 왜 ADFS라고 부르는가? AD 만 다루는 것이 아니라면 - 왜 Windows ACS가 아닌가? :) 3. ADFS 1.0을 피해야한다는 것을 알고 있었는데, 이는 특별히 2.0이라고 말한 이유입니다! :) –
4. WIF는 STS가 아닌 .NET 클래스 집합입니다. 그렇습니다. 위의 STS 중 WCD 코드를 사용하여 작성한 SIM을 묻는 중입니다. 내 이해는 ADFS 2.0 STS가 있었고 ACS 2.0 STS도 그렇습니다. WIF -> IP-STS에 대한 설명 주셔서 감사합니다! WIF -> RP-STS -> IP-STS의 이점은 무엇입니까? 시간 내 주셔서 감사합니다. –
"SP STS는 RP-STS입니다. 즉, 인증 할 자격 증명 저장소가 없기 때문에 IP STS 인 ADFS와 연계해야합니다. 즉 도메인의 AD에 대해 인증합니다. _WHY_ 네트워크 외부를 벗어나지 않는 한 Claims Authentication (인증 기반 인증)의 구성 옵션에서 Windows 인증을 선택할 수있을 때 _WHY_를 사용하여 ADFS 2.0 STS를 사용하여 인증하도록 선택 하시겠습니까? –