Хранение разрешений на основе ролей с использованием ADFS и WIF

Question

Я работаю над проектом, который использует Active Directory для пользовательской информации, ADFS для проверки подлинности и единого входа и нескольких пользовательских приложений, все из которых созданы с помощью ASP.NET MVC.

Модель авторизации - это претензии и основанные на ролях; то есть роли пользователя доступны в качестве претензий к соответствующему приложению через токены, выпущенные ADFS (с использованием WIF).

Каждая роль имеет определенный список разрешений для различных ресурсов приложений (т. Е. Роль Admin имеет разрешение WRITE для ресурса X). У нас есть основная модель авторизации, хорошо работающая с некоторыми жестко запрограммированными разрешениями.

Мой вопрос: что является лучшим способом/местом для хранения фактических разрешений для различных ролей? Это можно сделать в ADFS или понадобится отдельный магазин (я предполагаю, что последний)? Разрешения следуют той же широкой схеме, что и XACML (user/role: resource: action), и решение XACML, вероятно, будет легко интегрироваться, но самая популярная реализация XACML (XACML.NET) в .NET реализует XML как единственную который не будет жизнеспособным (у нас есть много ресурсов для хранения разрешений против - потенциально тысячи).

Что люди используют для этого? Наиболее очевидным решением является просто хранить триплеты в SQL Server, но, учитывая все готовые решения для аутентификации (особенно с использованием ADFS и WIF), кажется странным, что для фактической реализации авторизации и разрешений имеется очень мало (очевидная) информация. Все примеры, которые я нашел в Интернете, перестают объяснять вещи на уровне разрешений.

Answer 1

Проще всего было бы сохранить разрешения в SQL Server и просто использовать пользовательский SQL Server attribute store в ADFS для извлечения значений.

Вы можете сделать некоторую логику с помощью claims rules, но на самом деле нет хорошего места для хранения подобных вещей в самой ADFS.

Answer 2

ADFS часто является общим компонентом инфраструктуры. Проблема с переносом специфических для него приложений (например, для конкретных приложений) заключается в том, что с течением времени это может стать узким местом администратора. Спросите себя: кто будет управлять этими разрешениями с течением времени? вам придется подать форму для одобрения кого-то? Это, вероятно, будет проблемой. Это сработает, но это будет хлопот.

В целом, ADFS должна предоставлять атрибуты кросс-приложений, которые могут извлечь все (например, все атрибуты, основанные на AD, общие атрибуты, связанные с HR, являются хорошими примерами).

Конечно, вы могли бы получить данные об извлечении ADFS из базы данных, которая управляется распределенным способом.

В некоторых случаях люди развертывают специфичную для приложения STS (часто называемую «RP-STS»), которая преобразует токен во что-то, что ожидает приложение (или группа приложений). SharePoint делает это, например.