单一登录: Active Directory联合身份验证服务开发简介

web.config 文件设置好后，您应能够接受来自 ADFS 帐户合作伙伴的登录。接下来要做的是在声明的 基础上制定安全决策。

实际上，ADFS Web 代理分为两种不同的类型。一种是针对 Windows NT 令牌应用程序的 Web 代理。 这种 Web 代理将为远程用户生成一个真正的 Windows 登录会话。它通过 S4U Kerberos 扩展，从用户主 要名称中生成一个登录，我已经在 2003 年 4 月份的“安全概要”专栏中对此做了介绍（如果不是在 Windows Server 2003 本地模式下运行，就会使用一个自定义身份验证数据包）。这种方式的好处在于您 可以模拟这个登录，而将身份验证的任务转交给后端现有的安全资源管理器，例如文件系统或者 SQL Server。（如果这些资源也是远程的，那么您还需要在 Active Directory 中启用协议切换。）而这种方 式最大的缺点就在于您必须在自己的域中为每一个来访的用户设置一个用户帐户，这从一开始就削减了使 用 ADFS 的优势！（然而，用户不需要知道自己的资源帐户密码，而且他们甚至可能不知道还会为他们设 置另一个帐户。）

如果您希望采用联合身份验证，那么您所构建的应用程序就必须支持声明，而且这样一来，您不能依 赖于模拟了，因为您不再用 Windows 域帐户来表示帐户合作伙伴的用户。对支持声明的应用程序来说， 您将要用到的是 Web 代理，它不会对 Windows 帐户做任何的映射尝试，而是通过 HttpContext.User 将 来访的声明传递给您。在本文的示例中，我用的就是这种方法。

编写代码来检查声明其实并不困难。实际上，如果您对组声明的依赖性比较强，那么您根本不需要花 很