Создание пользовательского поставщика удостоверений для использования в службах управления Windows Azure.

Я начал работать с Microsoft Azure Access Control Services. Я хотел бы создать настраиваемого поставщика удостоверений, который будет аутентифицироваться в нашей внутренней системе CRM. В прошлом я создал прототип веб-сайта Secure Token Service, который позволил мне это сделать. Однако это было несколько лет назад. Я нашел https://blogs.msdn.microsoft.com/mcsuksoldev/2012/11/02/azure-access-control-services-creating-a-custom-identity-provider/, где описано, как создать пользовательский поставщик удостоверений, использующий WIF для использования в Azure, но сайт датирован 2012 годом. Я также просмотрел IdentityServer3, который, как я думал, может заменить WIF.

Использую ли я подход WIF Secure Token Service? Это устарело? Является ли Identity Server новым способом сделать то же самое?

Спасибо.


azure c# identityserver3 wif
person Thomas DeVoe    schedule 20.05.2016    source источник
comment
Службы управления доступом Azure устарели и объединяются с Azure AD.   -  person lgaud    schedule 20.05.2016
comment
Может быть трудно найти информацию о последней версии/подходе или о том, что вы непреднамеренно ищете устаревшее решение, которое вы указали здесь. Первоначально я изучал Azure AD, но наткнулся на Azure Access Control Services. Теперь я вернусь и покопаюсь в Azure AD. Спасибо!   -  person Thomas DeVoe    schedule 20.05.2016
comment
Почему кто-то проголосовал бы за это? Я потратил недели на поиски и прототипирование с помощью Azure Access Control Services, а также на Thinktecture и IdentityServer3, прежде чем понял, что, возможно, иду в неправильном направлении. Я бы, скорее всего, продолжал идти в неправильном направлении, если бы не задал этот вопрос. В отрицательном голосовании говорится, что этот вопрос не показывает каких-либо исследовательских усилий ... - Я потратил недели на исследования, прежде чем задать этот вопрос. Вопрос очень ясен и был чрезвычайно полезен для меня, и я уверен, что он будет полезен и для других.   -  person Thomas DeVoe    schedule 20.05.2016
comment
Игуад, я искал информацию об эквивалентной функциональности служб управления доступом в Azure AD и ничего не смог найти. Можете ли вы указать мне какие-либо ссылки/информацию? Предоставленная вами ссылка относится к февралю 2015 года, поэтому я думаю, что эта функция теперь будет доступна. Все ссылки, которые я нахожу, указывают на Azure ACS. Спасибо.   -  person Thomas DeVoe    schedule 20.05.2016

Ответы (3)


arrow_upward
0
arrow_downward

Прежде всего: Windows Azure ACS, вероятно, будет прекращена (https://blogs.technet.microsoft.com/ad/2015/02/12/the-future-of-azure-acs-is-azure-active-directory/ ). У нас был контакт с Microsoft по этому поводу, и они сказали, что это будет устаревшим «через два года» (не официально). При этом интегрировать вашу пользовательскую STS в Windows Azure ACS «легко». ACS просто нужен указатель на ваш документ метаданных. Обычно, если у вас есть служба STS, соответствующая стандартам WS-Federation, она располагается по адресу https://yourSTS/FederationMetadata/2007-06/FederationMetadata.xml. Если ваши метаданные верны, ACS предоставит вам STS в качестве другого поставщика удостоверений (точно так же, как Google, Yahoo и т. д.). Он будет делать это, предлагая «экран выбора», который позволяет конечному пользователю выбрать поставщика удостоверений по своему выбору. Ваш поставщик удостоверений появится среди них. Если конечный пользователь щелкнет ссылку для вашего поставщика удостоверений, браузер будет перенаправлен на ваш STS (пассивный вход). Если она войдет в систему, ACS будет выдан токен. ACS «преобразует» ваш токен безопасности и выдаст новый последней проверяющей стороне.

Бон, ответ заключается в том, что вы должны предоставить документ с метаданными и импортировать его в acs https://yournamespace.accesscontrol.windows.net/v2/mgmt/web/IdentityProvider.

person Willy Van den Driessche    schedule 21.05.2016

arrow_upward
0
arrow_downward

ACS прекращается, но кто знает, когда.

Первоначально ACS был введен для обеспечения входа в социальные сети, но использовался для многих вещей, например. изменение типов токенов с SAML 1.1 на SAML 2.0 и наоборот.

«Новый» способ интеграции входа через социальные сети в Azure — это Azure B2C, но это совершенно другой тип клиента Azure, не имеющий интеграции с SaaS.

См.: Azure B2C: различия с Azure Active Каталог (AAD) и Azure B2C : отличия от служб контроля доступа (ACS).

Identity Server 3 имеет открытый исходный код, может делать почти все, что может делать ACS, плюс вы можете добавлять свои собственные социальные логины и протокол SAML 2.0 и OpenID Connect / OAuth.

Другой хороший вариант — Auth0, но он коммерческий (и нет, я на них не работаю :-)).

Что касается WIF, то он по-прежнему поддерживается, но новые функции не добавляются. Скорее переходите на OWIN.

person rbrayb    schedule 22.05.2016

arrow_upward
0
arrow_downward

Спасибо всем за ваши комментарии и предложения. Что ж, несколько лет назад я купил книгу «Программирование Windows Identity Foundation» Витторио Берточчи, которую я использовал, чтобы начать прототипирование решения SSO с использованием подхода WS-Federation, в котором используется служба маркеров безопасности. Этот проект был приостановлен, и я не присматривался к нему до недавнего времени. Несколько месяцев назад я купил новую книгу Витторио «Современная аутентификация с помощью Azure Active Directory для веб-приложений». Я только просмотрел книгу, но решил взять ее домой на прошлых выходных и внимательно прочитать. В книге описывается история методов проверки подлинности перед утверждениями, SAML, WS-Federation, OAuth, OpenID Connect. Он содержит большое количество примеров кода, а также подробную информацию об архитектуре. Это прояснило путаницу с различными протоколами, и теперь я знаю, в каком направлении двигаться.

person Thomas DeVoe    schedule 23.05.2016