Применение в доверенной третьей стороны WIF среды

Question

Все,

Я немного запутался над некоторыми из концепций Windows, Intentity Foundation и общий архитектурный приступе в третьей партии «доверенный» в отношении окружающей среды Авторизация , Я думаю, что, возможно, что-то пропустил, но не вижу, как это будет работать в реальном мире.

В качестве примера у нас есть целый ряд систем за порталом. Клиенты могут получить доступ к порталу и, исходя из своих разрешений, они могут получить доступ к функциям каждого приложения. В текущем сценарии у нас может быть один шаг аутентификации (идентификатор пользователя/пароль), который передает авторизованному удостоверению/основному лицу (против специализированного хранилища аутентификации) каждому приложению. Затем приложение использует этот предварительно аутентифицированный идентификатор для поиска своих собственных ролей, чтобы пользователи могли получать доступ к определенным функциям.

Все это управляется внутренне - то есть каждое приложение понимает свои собственные роли, поэтому каждое приложение имеет свою собственную функцию администратора, которая сопоставляет пользователя с ролью.

Итак, это работает, но это боль для управления, и наш клиент должен помнить идентификатор и пароль пользователя портала.

Я хотел бы перейти в надежную среду, чтобы мы доверяли токену из их STS, и аутентификация скрыта. Однако я просто не вижу, как будет работать авторизация - мы просим, ​​чтобы каждая сторонняя сторона выполняла роли в своей STS для передачи вместе с токеном. Мы переместили админа к ним, что может повредить их модели безопасности.

Таким образом, мы не можем делегировать им авторизацию и по-прежнему должны управлять картой доверенного токена с теми ролями, которые требуются приложениям.

Таким образом, большое преимущество доверенного STS, благодаря которому пользователь A оставляет доверенную компанию 123, а пользователь B присоединяется к ней, и им не нужно ждать, пока мы внесем какие-либо изменения ..... просто нет практический в реальном мире.

Какой позор, поскольку мне очень нравится эта идея.

Я пропустил что-то фундаментальное?

Answer 1

Чтобы ответить на мой вопрос, я поговорил с архитектором Microsoft об этом, и он в целом согласился. Вы можете создавать правила для сопоставления сторонних данных с свойствами, которые требуется вашему приложению, но если третья сторона не готова к изменению своих систем (например, Active Directory), вы застряли.

Таким образом, ИМО, вероятность того, что третье лицо согласится добавить новые объекты в свой домен AD для поддержки вашего приложения, минимально, оно оставляет довольно большую дыру в идеях, лежащих в основе WIF и доверенных STS.