Quelle est la différence entre ADFS, Wif, WS Federation, SAML et STS?
Ce sont de nombreuses technologies et mots à la mode utilisés pour l'authentification unique avec les services Microsoft.
Quelqu'un peut-il expliquer ADFS, Wif, WS Federation, SAML et STS (Security token service), y compris où et quand chacun est utilisé.
3 réponses
Du point de vue de la grande image:
Supposons un ASP.NET application basée sur un navigateur qui nécessite une authentification et une autorisation.
L'application peut lancer la sienne ou l'externaliser.
WIF est une bibliothèque. net qui permet ASP.NET pour mettre en œuvre cette externalisation.
Il parle à un STS (ADFS {[8] } est une instance D'un STS) qui s'authentifie auprès d'un référentiel d'identité et fournit des informations d'autorisation sous forme de revendications. Un STS fournit un ensemble de revendications signées et approuvées.
Le protocole utilisé entre WIF et ADFS est WS-Federation .
Si le STS était basé sur Java (par exemple Ping Identity ou OpenAM), WIF utiliserait le protocoleSAML pour la communication. ADFS prend également en charge SAML pour activer la Fédération.
(la Fédération permet par exemple à un utilisateur d'une société a orientée Java d'accéder au ASP.NET application dans une société orientée. net B en s'authentifiant sur le référentiel d'identité de A. La société A et la société B se font confiance dans un sens de Fédération.)
-
ADFS (Active Directory Federation Services)-Service de Jetons de sécurité (STS) disponible sur le marché produit par Microsoft et construit sur Windows Identity Foundation (Wif). Repose sur AD pour l'authentification. Peut être utilisé dans des scénarios actifs (SOAP web services) ou passifs (sites web) et prend en charge les jetons SAML, WS-Federation, WS-Trust et SAML-Protocol. Il peut être utilisé en tant que fournisseur D'identité (contre AD) ou en tant que Fédération Fournisseur.
Http://technet.microsoft.com/en-us/library/adfs2 (v=ws.10).aspx
-
WIF (Windows Identity Foundation)-la bibliothèque.net utilisée pour générer l'authentification basée sur les revendications dans les applications. net et les parties de confiance. Il peut également être utilisé comme un client WS-Trust et à une construction personnalisée STS.
-
WS-Federation-un protocole utilisé par les parties se fiant et un STS pour négocier un jeton de sécurité. Une application demande un jeton de sécurité à un STS utilisant la Fédération WS, et le STS renvoie (la plupart du temps) un jeton de sécurité SAML à l'application en utilisant le protocole WS Federation. C'est généralement via HTTP (obtient et messages et redirections). Comparez cela avec WS-Trust, qui est entièrement basé sur le service web.
-
Jetons SAML (langage de balisage D'Assertion de sécurité) - c'est simplement le format XML utilisé pour les jetons de sécurité, qui capturent généralement des informations utilisateur (revendications) et d'autres données pertinentes liées à la sécurité (signatures, émetteur de jetons, etc.). Le jeton est utilisé par l'application pour authentifier les utilisateurs et conduire le comportement de l'application (par exemple, l'autorisation). Les Jetons de sécurité SAML sont signés pour l'intégrité et éventuellement chiffrés afin que seuls RP et STS puissent voir son contenu. Dans ASP.NET les sites Web utilisant WIF, le jeton est par défaut crypté et découpé en cookies, mais cela peut être modifié.
Http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
-
STS (Security Token Service) - comme décrit ci-dessus, STS est le courtier qui se trouve entre une application de partie de confiance et l'utilisateur. Un STS est un émetteur de jetons de sécurité. "Émetteur" est souvent synonyme D'un STS. Les STSs sont configurés dans deux rôles: as fournisseurs d'identité (IdP) lorsqu'ils authentifient les utilisateurs ou fournisseurs de Fédération (FP) quand ils siègent au milieu d'une chaîne de confiance et agissent en tant que "parties confiantes" pour d'autres personnes déplacées. Les personnes déplacées ont besoin d'un moyen d'authentifier les utilisateurs. Certains (comme ADFS) utilisent Active Directory, d'autres utilisent des bases de données personnalisées comme L'appartenance à SQL Server (pas ADFS). Si l'utilisateur s'authentifie correctement, le STS émettra une sécurité jeton.
Http://msdn.microsoft.com/en-us/library/ff650503.aspx
Http://docs.oasis-open.org/ws-sx/ws-trust/v1.4/os/ws-trust-1.4-spec-os.html#_Toc212615442
Espérons que cela aide. Il y a beaucoup de concepts et de pièces à comprendre dans l'authentification basée sur les revendications. Pour obtenir une compréhension complète, vous devriez vérifier Guide Basée sur les Revendications d'Identité et de Contrôle d'Accès.
Ce post vise à clarifier les jetons SAML, pris en charge dans ADFS 2.0, et le protocole SAML, non pris en charge JUSQU'à ADFS 3.0, la version D'ADFS dans Windows Server 2012 R2
1) le protocole SAML n'est pas pris en charge avant ADFS 3.0
2) les applications WIF basées sur. Net 4.5 nécessitent l'utilisation du protocole alimenté par WS et ne prennent actuellement pas en charge le protocole SAML
3) Les jetons SAML sont basés sur XML. Les jetons SAML sont pris en charge dans ADFS 2.0 et les versions précédentes. ADFS 1.0. 1.1. et 2.0 seulement supporte les jetons SAML, pas le protocole
4) Si vous utilisez WIF, WS-Fed (protocol) est requis-vous pouvez donc faire ce qui suit:
Protocole SAML ADFS WS-FED WIF (. net 4.5)
Du Wiki:
* ADFS 1.0 - Windows Server 2003 R2 (téléchargement supplémentaire)
* ADFS 1.1-Windows Server 2008 et Windows Server 2008 R2.
* ADFS 2.0-Windows Server 2008 et Windows Server 2008 R2 (Télécharger de Microsoft.com)
• ADFS 2.1-Windows Server 2012.
* ADFS 3.0-Windows Server 2012 R2.