如何在不使用AD的情况下向STS服务器提供索赔
我需要一个认证/授权模块,我的SaaS网络应用程序和我喜欢的外观。问题是,除了Active Directory之外,似乎没有一种即插即用的方式来为索赔服务。我的想法是使用IdentityServer并将ASP.NET成员资格提供程序存储库替换为自己的存储库。
诀窍是
- 这款应用程序互联网面向许多不同的客户。(因此ADFS2不适用)。
- 我需要粒度操作级别的权限,而不是角色。(因此ASP.NET成员资格不合适)
- 我希望我的应用程序中的用户管理他们自己的用户子集。
我打算构建的比特是下面名为“Claims”的粉红色框。
IClaimsService将允许创建新用户、创建角色、为角色分配权限以及为这些角色分配用户。我自己的应用程序将使用插入到IClaimsService中的管理屏幕,以及创建子用户的用户权限等等。
我的问题是-这是一个有效的架构,还是我完全忽略了WIF的要点?
或者我还没有找到其他的即插即用选项呢?我很高兴没有重新发明轮子!
附加信息
我的网络应用程序是一个SaaS,它需要允许我的客户在他们自己的数据围墙内创建他们自己的用户。
例如,在一个招聘软件平台上,您有一个竞争团队,这些招聘人员在系统中拥有自己的客户。一个团队不允许在另一个团队的数据达到峰值,但是每个团队都可以管理和管理他们自己的用户子集。可能有许多不同的公司使用该平台,因此没有一个中央IT部门/域来管理这个平台。这都是自助餐。
我已经看过奈特拉兹曼,它接近我想要的,但是Windows基金会看起来它将有更长期的好处,因为我连接了新客户,并且可以连接他们自己的STS来进行身份验证。
回答 1
Stack Overflow用户
发布于 2012-05-14 17:06:01
我认为你是正确的,WIF将使你走上更长期正确的道路。以认同感为基础的认同感将留在这里,所有的事物都会在这里汇合。WIF比过去更容易实现。
我的建议是从最简单的事情开始,那就是首先使用索赔对用户进行身份验证。然后将用户句柄(例如电子邮件或user_id等)关联起来。您在应用程序中构建的任何授权架构。可以是成员身份、自定义数据库等。
您所描述的配置和自我管理都是特定于应用程序的,并且与所选择的身份提供者无关(例如,IdentityServer或任何与WIF兼容的东西: SAML令牌、WS等等)。
随着时间的推移,这一简单的步骤将为更复杂的解决方案奠定基础,并允许您以略微增加的努力提供即时的价值。例如,您可以允许具有社会身份的用户登录到您的站点。您仍然可以定义:"fiat@mail.com“”->“可以在应用程序中管理用户。
随着时间的推移,您会发现这些是常见的、反复出现的属性,您可以进一步将这些属性外部化(例如角色)。那么像你提议的那样就有意义了。
澄清一点: ADFS只对AD进行身份验证,但可以从任何地方(数据库、LDAP、自定义等)检索属性。
https://stackoverflow.com/questions/10544121
复制相似问题
腾讯云开发者
