【发布时间】:2015-08-16 15:58:07
【问题描述】:
在我们的组织内,我们的应用程序作为 RP 注册到我们的组织 ADFS 服务器,即 v2。传统上,组织中的应用程序已使用 WS-Federation(被动身份验证)构建为单一的单体应用程序。 Web API 也托管在每个应用程序中,仅通过在浏览器中从应用程序的客户端代码进行 ajax 调用时通过网络发送相同的 FedAuth cookie 来确保安全。
我们正朝着构建一组后端 Web API 的方向前进,我们希望对其进行保护,以便任何客户端都可以调用这些 API,而不仅仅是 Web 浏览器,而不仅仅是托管应用程序本身。因此,我们希望将 JWT 令牌用于这些 Web API。我们还开始使用 ThinkTecture 的 IdentityServer (v2) 在这方面提供帮助。
我们只有几个问题,希望社区可以帮助为我们提供一些答案/建议:
- 我们应该如何配置 IdentityServer 和应用程序,以便应用程序使用 现有的组织 ADFS 登录页面?
- 我们如何配置/集成 ThinkTecture IdentityServer v2 组织 ADFS,以便我们的 API 可以使用 JWT 保护 令牌,但不强制用户提供他们的凭据 再次(一旦他们通过 WS-Federation 获得 SAML 令牌)?
- IdentityServer v3 中是否有任何引人注目的功能 足以从 IdentityServer v2 升级到 v3?
【问题讨论】:
标签: security asp.net-web-api adfs jwt thinktecture