패시브 연합에서의 사용자 관리

Question

WIF (Windows Identity Framework)를 사용하여 만든 IP-STS와 세 개의 별도의 신뢰 당사자가 하나의 연합에 있습니다. 페더레이션 단일 노래 및 로그 아웃 시나리오가 정상적으로 작동합니다. 이것은 데모로 준비되어 있습니다.

내 문제는 무엇입니까?

프로덕션에서는 신원 확인 지붕 아래에서 3 개의 다른 웹 응용 프로그램을 통합해야합니다. 현재이 애플리케이션들은 모두 데이터 스토어에서 다른 인증 및 권한 부여 메커니즘을 가지고 있습니다. 특정 사용자에게 다른 테이블 세트가 할당됩니다. 사인 온 및 로그 아웃은 모든 것이 명확합니다. 새로운 사용자를 만드는 데 문제가 있습니다. 이 시나리오에는 일반적인 패턴이 있습니까? 왜 내가 이것을 묻고있다. 이 경우 더 깊이 들어가면 그렇게 간단하지 않다는 것을 알 수 있습니다. 첫 번째 웹 응용 프로그램의 경우 두 번째 집합에서 지원되는 필드 집합 (대부분이 DB의 일부 열거 형임)이 있습니다 ... 따라서이 프로세스의 모든 데이터를 모든 신뢰 당사자로부터 가져와야합니다. . 이 일을 성취하는 방법? 한 가지 방법은 IFRAMES 또는 이와 유사한 것을 사용하는 것입니다. 또한 사용자 엔티티에 의존하는 개별 응용 프로그램의 관계 테이블로 인해 각 응용 프로그램에 새 사용자가 있어야합니다. 그것은 나에게 매우 복잡해 보이고 난 골치 아픈 경우도 있습니다. 나는 하나의 ID 관리 하에서 완전히 다른 응용 프로그램을 통합해야하는 최초의 사람이 아니라고 확신합니다.

업데이트 : 이것이 프로비저닝 관리 또는 연합 프로비저닝의 일부인 것으로 나타났습니다. 또한 SAML 프로토콜을 사용하여 손으로 직접 진행하는 SPML 프로토콜로 구현할 수 있음을 발견했습니다. 이러한 목적으로 WIF에 프로토콜 또는 통합 지점이 있습니까?

감사 Rastko

Answer 1

SPML는 ADFS/WIF 의해 지원되지 않는다. SPML은 일반적으로 프로비저닝 프로토콜이므로 Identity Manager에서 제공합니다. ADFS는 STS로 ID 관리자가 아닙니다.

WIF는 SAML을 지원하지 않습니다. ADFS는 SAML을 지원하지 않습니다.

WIF 용 SAML CTP (미리보기)가 있습니다 (Announcing the WIF Extension for SAML 2.0 Protocol Community Technology Preview).

다른 오픈 소스 제품을 사용할 수도 있습니다. .NET Oracle OpenSSO Fedlet.

업데이트

다시. SPML - 가능합니다. 단지 프로토콜 일뿐입니다. 오픈 소스 Java 라이브러리와 C# 용 오픈 소스와 상업용이 있습니다. Softerra™ SPML2 Library.

일부 RP는 WIF를 사용하고 일부는 SAML을 사용할 수 있습니다. 구성의 문제 일뿐입니다. 동일한 RP에 둘 다를 보유하는 것은 어려울 것입니다.

ForgeRock은 두 가지 모두를 수행하는 OpenAM 제품을 생성합니다. ADFS의 주장 규칙 언어가 풍부하지 않지만 잘 작동합니다. 그러나 구성이 까다로울 수 있습니다. Windows Server 라이센스를 가지고 있다면 ADFS는 무료입니다.