Я немного смутился. Если существует WS-федерация, которая позволяет моим пользователям веб-службы аутентифицироваться через LDAP, какая разница, если я использую пространство имен WS-Federation или System.DirectoryServices в своем сервисном коде?WS-Federation vs System.DirectoryServices
Спасибо
Там нет Comparision между ними.
WS-Federation - это протокол для поддержки сценариев единого входа. Он в основном поддерживает два профиля: один для аутентификации клиентов, который использует веб-службы Active Profile и другой профиль, называемый пассивным для аутентификации клиентов в веб-приложениях (он использует http).
Active Directory для федеративных услуг - это расширение, созданное поверх Active Directory для аутентификации пользователей с помощью WS-Federation.
DirectoryServices - это api, который вы используете для связи с Active Directory непосредственно из приложения .NET. Ничего общего с аутентификацией.
С уважением, Пабло.
Главное, чтобы WS-Federation делегировала аутентификацию маркерному эмитенту. Это позволяет поместить код проверки подлинности служб каталогов в маркерный маркер и проектировать службы, которые «не заботятся» о реализации аутентификации. Вы можете аутентифицировать своих клиентов через несколько конечных точек у маркера с различными реализациями. Например, вы можете выявлять конечные точки, которые аутентифицируются через Windows auth, или username/pass, или другие механизмы, но ваши другие службы, настроенные на доверие маркетологу через федерацию, не должны заботиться о том, как вы расширяете механизмы аутентификации маркера.
Вы можете даже «объединить» федерацию так, чтобы маркер-эмитент настроен на использование самой федерации на определенных конечных точках, делегируя выдачу маркера совершенно другому маркеру-эмитенту. Таким образом, вы можете реализовать аутентификацию с использованием сторонних доверенных маркеров, таких как «вход в систему с использованием facebook», yahoo и т. Д. То, как это работает, заключается в том, что федерация настроена на ваши службы, чтобы доверять вашему маркерному эмитенту, а ваш маркер-эмитент настроить с помощью федерации, чтобы доверять токенам Facebook. Это также позволяет создавать архитектуры, в которых у вас есть один маркер-эмитент в DMZ, другой в вашем домене и службы в домене в бэкэнд, и вы можете иметь веб-серверы, способные выполнять аутентификацию с помощью бэкэнд-услуг без какой-либо сетевой информации или другой информации, связанной с безопасностью ваш домен доступен потенциальным хакерам за пределами DMZ.
Благодарим вас за ответ Pablo. Мой вопрос не был ясен, извините. Я имею в виду, как можно сравнить аутентификацию с помощью WS-Federation и аутентификацию с помощью WS-Security, где в фоновом режиме мой код WS-Security будет использовать DirectoryServices. – user1121956