Windows Identity Foundation 不正式支持 SAML 2.0；使用 WIF CTP 还是坚持使用 SAML 1.1？

Question

我们希望将 SAML 2.0 用于单点登录解决方案。作为典型的微软商店，我们更喜欢尽可能多地使用微软组件。 Windows Identity Foundation 支持 SAML 2.0，但该扩展仍处于社区技术预览 (CTP) 中一年多，没有任何关于未来课程的信息。见http://blogs.msdn.com/b/alikl/archive/2011/05/16/windows-identity-foundation-wif-extension-for-saml-2-0-protocol-community-technology-preview-ctp.aspx

我看到了 Michèle Bustamante 的一篇鼓舞人心的文章：http://www.devproconnections.com/article/federated-security/generate-saml-tokens-using-windows-identity-foundation 她积极推广 WIF + SAML 2.0，但在文章中没有提到 CTP 或最终版本。我也无法联系她进行澄清。

在此背景下，使用 SAML 2.0 的 WIF 社区技术预览版还是坚持使用 SAML 1.1 是否安全？ SAML 2.0 是否比 SAML 1.1 具有显着优势？ SAML 1.1 的未来是否存在问题？

还有其他选择吗？

Answer 1

您应该澄清您是在谈论 SAML 2.0 协议（例如 SAMLP）还是只是令牌类型。 WIF RTM 支持 SAML 2.0 令牌，但不支持 SAMLP。

因此，如果您只需要 SAML 2.0 令牌支持，WIF RTM 就足够了，尽管 WIF 扩展 CTP 确实添加了一些 SAMLP 支持。

如果您正在寻找 SAMLP 解决方案并且您是 Microsoft 商店，那么您应该考虑 ADFS 2.0。

ADFS 2.0 将执行“协议转换”：它将与身份提供者和 WS-Federation 与您的应用程序进行 SAMLP 对话（两者都使用 SAML“令牌”）。 WIF 支持 WS-Federation。

Answer 2

看看Identity Server，它是一个使用 SQL Server 进行身份验证的 STS。您可以轻松地将其与 ADFS 联合。

据我记得阅读 CTP 版本的许可协议，它只是用于发表评论 - 你不能使用它，例如在生产环境中。

根据@Eugenio，WIF 仅支持 WS-Federation。

您打算如何“坚持使用 SAML 1.1”？

更新： 我建议您使用 Identity Server 对数据库进行身份验证。您的 WIF 应用程序使用 FedUtil 绑定到 Identity Server。然后将 Identity Server 与 ADFS 联合。您的外部方使用 SAML 与 ADFS 通信，ADFS 将处理管道以使他们能够使用 Identity Server DB 进行身份验证。

请注意，WIF 根本不支持 SAML。