シングルサインオンASP ID複数のアプリケーションをセキュリティで保護

Question

私はシングルサインオンオプションを使用することができます。私は現在、同じ製品ファミリ内で複数のアプリケーションセットを保護する必要があり、どこから起動するのか分かりません。

基本要件のいくつかは

1. ユーザが一度認証を行うことができなければならないだろう、と資格のユーザーに基づいて中央管理コンソールは、管理者のために利用可能であるべきである
2. 必要なアプリケーションにリダイレクトされます役割割り当てを簡素化し、必要に応じてさまざまなアプリケーションへのアクセスを許可する
3. ユーザーは特定のアプリケーションに登録できますが、特定の機密アプリケーションはユーザーが正常にログインするには管理者の承認が必要です。
4. このSSOはまた、ある種の許可ロジックを使用してAPIを保護する必要があります。管理者の役割だけがレコードを削除することができます
5. ユーザーは、Facebook、Twitter、Google & Windows liveなどのOAuthプロバイダに登録できる必要があります。
6. SSOプロバイダは、私はどこから始めれば見当がつかないなどのWindowsアプリケーション、Webアプリケーション、モバイル&サービス

などのプラットフォームの多数に実装するのは簡単である必要があり、私のような何かの通過迅速な読み取りを行っていますADFS https://msdn.microsoft.com/en-us/library/bb897402.aspxですが、上記の要件をすべて満たしている場合はIDEAはありません。

正しい方向に私を指差してくれれば助かります。

ADFSは前者のみを行いプロビジョニング

• 認証
• ：

Answer 1

あなたは混乱2つの別々の概念すなわちです。後者を実行するには、Identity Manager（IM）が必要です。

ので：

ユーザが一度認証を行うことができ、および資格情報をユーザーに基づくべきでは私がマイクロソフトに集中します、必要なアプリケーション

にリダイレクトされます世界。 ADFSとAzure ADの両方がこれを行うことができます。ユーザー - >アプリケーション - > IDP - 認証 - >

を必要に応じて、管理者は様々なアプリケーションへの補助金のアクセスだけでなく、役割の割り当てを簡素化するために戻ってアプリケーション

に中央管理コンソールが利用可能であるべきです

IM機能です。 AADはグループ割り当てを行うことができますが、実際にワークフローはありません。 Windows Serverの「Active Directoryユーザーコントロール」を使用して、ADFSで使用するAD属性を手動で編集できます。

ユーザーが特定のアプリケーションのために登録することができますが、ユーザが正常にログインすることができます前に、特定の敏感なアプリケーションでは、管理者の承認を必要と

IMを - 。ワークフローに

これを必要としますSSOはまた、ある種の許可ロジックを使用してAPIを保護する必要があります。スーパーバイザロールのみがレコードを削除できます

これは両方です。 ADFS 4.0（Server 2016）は、Web APIをAADと同様に保護することができます。上記のようにロールを削除するのはIMです。

ユーザーは、ライブFacebookやTwitter、Googleの& WindowsなどのOAuthプロバイダに登録することができるはずです。

マイクロソフトでは、ソーシャルインタラクションが限られています。 AADを使用してソーシャルプロバイダを追加できます。私はAuth0を使用し、それは社会的なプロバイダのトンを持っているとして連合。 Azure B2Cはここで使用できます。

SSOプロバイダは、Windowsアプリ、Webアプリケーション、モバイル&サービスのWebアプリケーションのために

などのプラットフォームの多数に実装するのは簡単でなければなりません、あなたはSAML、WS-を使用することができますFed、OpenID Connect & OAuth。

Windowsアプリケーションの場合、OpenID Connect & OAuthを使用できます。

モバイル&サービスでは、OpenID Connect & OAuthを使用できます。 （異なるシナリオに対応するための4つのフローがあります）。

ADFS 4.0（Server 2016）とAADは上記のすべてをサポートできます。