支持 SAML、OAuth 和 OpenID 的身份服务器 [关闭]答案

【问题标题】：Identity Server supporting SAML, OAuth and OpenID [closed]支持 SAML、OAuth 和 OpenID 的身份服务器 [关闭]
【发布时间】：2015-03-19 18:42:43
【问题描述】：

我的公司正在研究实施身份服务器。本质上，我们需要主要充当服务提供者，但需要通过 SAML、OpenId 和 OAuth（我意识到这是一种授权协议）接受声明 - 然后使用令牌重新路由到适当的应用程序服务器。我们也有可能充当身份提供者并向外部服务提供者做出断言。

到目前为止，我们正在研究的服务器是 WSO2 和 OpenAM，但很好奇是否还有其他服务器被广泛使用。

我们还希望能够使用用 .NET 编写的东西。上面提到的服务器都是Java。

非常感谢您提供有关此问题的任何可用资源以及有关您是否使用过上述任一服务器以及您的体验的任何反馈。

谢谢！

【问题讨论】：

【解决方案1】：

作为 SP，ADFS 可以工作，但不能使用 OpenID。 IdentityServer 执行 OpenId 和 OAuth 但不执行 SAML。

两者都使用 WS-Fed，因此您可以将它们联合起来以提供两全其美的效果。

两者都是 .NET。

【讨论】：

【解决方案2】：

Thinktecture IdentityServer v3 与 Kentor.AuthServices Owin 中间件一起处理针对外部 Idps 的 SAML2P 身份验证可以满足您的大部分要求。该设置缺少的是充当 SAML2P 身份提供者的能力（但它是开源的，因此您始终可以自己添加）。

【讨论】：

嗨@Anders Abel：如果是一个完整的Windows 商店：我们为什么需要使用OWIN？我真的很喜欢 Thinktecture 的外观，但仍然认为它可能有点矫枉过正。基本上我们只需要一个非常薄的层来解析令牌，并将声明发送到我们的资源服务器，这些令牌将通过 SAML/OpenID 或 OAuth 来。我们不需要任何授权（角色验证等）或 ID 服务器上的数据存储。本质上，它只是确保令牌有效的看门人。你提到的那些产品会不会是矫枉过正？
在这种情况下，最好只找到实现每个协议的库。用于 OpenID 和 OAuth 的 Katana/Owin 中间件和用于 SAML2 的 KentorAuthServices 中间件就是这样的选择。它们可用于仅获取令牌，但需要了解owin external auth pipeline。