内部のアプリケーション/サイトのみのWindows IDの基盤？

Question

私は今かなりの時間を費やして、Windows Identity Foundationを見てきました。私はMSDNの本のいくつかの章を読んでいます。

しかし、私はまだ1つのことについて混乱しています。 WIFは、公開されているWebサイト認証に適しているか、またはこれは主にintranets/sharepointサイトを対象としています。ユーザーがintegrated windows auth/active directoryなどで識別される内部ドメインを扱うものです。現在、私たちは多くのWebサイトを持っており、人々がログインし、forms authentication/custom asp.net membership providerを使用してデータストアに対して認証されています。このメカニズムをWIFと置き換えることは可能ですか？もしそうなら、誰もそのようなチュートリアルへのリンクを持っていますか？

私はこれらの行に沿って情報を探してみましたが、見つけにくいです。

Answer 1

原則として、Windows Identity Foundationには、「一般公開」のWebサイトでの使用が不適切であり、WIF自体が特定の認証メカニズムに縛られていないものはありません。ただし、Active Directoryフェデレーションサービスをアイデンティティプロバイダとして使用することを検討していた場合、ADからユーザーを認証することが唯一の選択肢になります（一部のユーザーからクレーム値を取得するカスタム属性ストアをプラグインすることはできますが他のデータストア）。あなたのWIF依拠当事者（つまり、あなたのウェブサイト）は、ユーザーがどのように認証されたかを気にする必要はありませんが、信頼するIDPによって認証されただけです。

ウェブサイトを「WIF対応」するのではなく、データストアを使用できるようにActive Directory以外のものとの認証をサポートする互換性のあるIDPを見つけることが問題になるかもしれません。現在、ユーザーの認証に使用しています。あなたのWIFの信頼関係者とShibbolethのようなSAML2 IDPとの間の "ブリッジ"（信頼側のセキュリティトークンサーバ）としてADFSを使用することは可能ですが、データベースを使用してユーザを認証することができますが、そのようなシステムを設定して維持するためにかなりの労力を費やすことなく、ユーザーがシングルサインオンからアプリケーションに与えるメリットを勘案しなければなりません。

Answer 2

はい - 一般公開のWebサイト認証に適したWIFです。 ADFS v2.0はADに対してのみ認証します。ただし、好きなものに対して認証するカスタムSTSを作成することはできます。あなたのケースでは、データストアでは、Identity Serverを見て、SQL DBに対して認証します。

• http://claimsid.codeplex.com/

• Identity Training Kit

• How to: Build an ASP.NET STS