单一登录: Active Directory联合身份验证服务开发简介
本文讨论: 什么是联合身份验证 使用 ADFS 在 ASP.NET 应用程序中实现联合身份验证 信任关系和安全性注意事项 本文使用了以下技术: ADFS 和 ASP.NET Active Directory 联合身份验证服务 (ADFS) 是 Windows Server® 2003 R2 最重要的组件之一。ADFS 能够 解决很多问题,而其中最显而易见的就是企业到企业的自动化控制问题。在这篇文章中,我将从一个开发 人员的角度来分析 ADFS,我们假设这个开发人员正在构建一个 Web 应用程序,而且希望其他组织也能够 使用这个程序(若要了解从管理员角度对 ADFS 的分析,请参阅 TechNet Magazine 上 Matt Steele 的 文章)。 那么,我所说的企业到企业的问题究竟是什么呢?假设有一家名为 Fabrikam 的自行车制造商想发布 一个 Web 应用程序,使授权经销商能够通过这个应用程序以批发价购买自行车和零部件。但是, Fabrikam 的经销商有两百多家,而且每个经销商都有好几名员工需要使用这个应用程序。因此, Fabrikam 必须建立起一个安全性很高的登录机制。 最直接的解决方案就是创建一个包含用户名和 密码的数据库,但这种方法的管理成本非常高。如果有人致电 Fabrikam,声称自己是某个经销商的员工 ,那么,Fabrikam 该如何验证其真实性呢?他们可能首先与这家经销商公司里某个值得信任的人取得联 系,证实这名员工的身份,然后才开始设置新的帐户。您可以考虑一下这类用户帐户的维护成本:人们可 能会忘记用户名和密码,当然,还可能遇到其他问题。如果这名员工离开了这家经销商公司,会出现什么 情况呢?会有人记得要通知 Fabrikam 应该删除他的用户帐户(用身份标识术语的说法,就是取消设置) 吗?如果没有的话,那么这个用户可能会在自己家里用该经销商的身份去下假的订单。 密码本身 也存在另一个问题。随着计算能力的不断增强,破解密码变得越来越容易,如今,很多组织都倾向于使用 更为强大的身份验证技术,例如智能卡。但是,由于 Fabrikam 必须面对众多不同的经销商,如果采用比 密码更强大的身份验证技术,那么 Fabrikam 一定会应接不暇。 值得注意的是信任在这里也是一 个重要因素。Fabrikam 相信每一家经销商能够提供准确的员工清单,这些员工将被允许通过 Fabrikam 的 Web 应用程序进行采购。 使用 ADFS 构建的解决方案 ADFS 能够帮助您建立起信任关系 ,从而降低了对用户帐户设置的依赖性。如果各家经销商已经能够通过软件来验证他们自己的用户,您又 何必再费事去为自己的应用程序构建一个用户帐户数据库呢? ADFS 是 Microsoft 实现的 WS 联 合身份验证被动请求者配置文件协议(被动是指客户端只需要一个支持 Cookie 和 JavaScript 的 Web 浏览器 — 在实现该协议时,被动代理不需要运行任何特殊代码)。这个协议的工作原理如下:当 经销商公司的某个用户将其浏览器连接到 Fabrikam 的采购应用程序时,她的浏览器将最终被重定向,回 到该经销商的网站,也就是她工作的地方,这样,这家经销商就能够对她进行身份验证。然后,她的浏览 器将再次重定向回到 Fabrikam,而这个新的请求将会携带一份由这家经销商签名的声明,证明这个用户 确实是这家经销商的员工,而且已由经销商验证身份,可以使用该应用程序。(我说的有点简单化了。) 这里的重点在于 Fabrikam 信任这家经销商对其用户的身份验证,这也是联合身份验证技术的核心所在。 如果经销商拥有支持 WS 联合身份验证被动配置文件的软件,那么 Fabrikam 就不需要为这家经 销商的员工设置任何用户帐户。同样,它也不必为重设密码的请求而感到烦恼。如果经销商公司的某个用 户改变了工作角色,离开了采购部门,只要对她的身份标识信息做出相应更改,以反应职位的变动,那么 当她试图使用 Fabrikam 的采购应用程序 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |