是否需要安全令牌服务

Question

我们查看了 Identity Server，而 Starter STS 似乎很大，可以提供一些加密声明。那么问题来了

1. STS 必需或强制与 ADFS 2.0 联合

2. 我们选择了 Identity Server，因为 ADFS 2.0 不支持其他数据存储

3. 是否可以选择通过 mvc 控制器或使用 Windows Identity Foundation 和 SAML 2.0 协议的东西来提供声明

Answer 1

对于第二个问题，您始终可以在 .NET 中开发自定义 STS，并将其添加为 ADFS 作为身份提供者。正如您所提到的，您需要针对 LDS 商店进行身份验证，您可以参考下面给出的链接，这将为您提供更多见解：

http://cloudythoughts.siadis.com/windows-azure/windows-azure-appfabric/creating-a-custom-sts-with-windows-identity-foundation

http://blogs.msdn.com/b/vbertocci/archive/2008/11/26/an-identity-provider-and-its-sts-writing-a-custom-sts-with-the-october-beta-of-the-geneva-framework.aspx

http://www.rahulsingla.com/blog/2012/05/wif-security-token-service-for-active-directory-lightweight-directory-services

Answer 2

你用 SAML 标记了它，所以我认为这是协议（而不是 WIF）。

我假设您的应用程序是 ASP.NET？

如果您想联合与 ADFS，那么是的，您需要另一种 STS。

IdentityServer 不支持 SAML 到应用程序。

有一个WIF SAML CTP。

如果您希望 .NET 应用程序使用 SAML 直接与 STS 对话，您可以使用 .NET OpenSSO Fedlet（或 OpenAM 之一）。

Answer 3

不确定我是否完全理解您的问题，但这是我的看法：

1. ADFS 是一个 STS。您不需要另一个。
2. ADFS 支持任何数据存储，但只能针对 AD 进行身份验证。你可以发出 存储在 LDAP、SQL 或任何地方的声明。
3. WIF 还不支持 SAML 协议。

您为什么首先考虑 WIF/安全令牌？ （例如 SSO、联邦等）