当前位置：首页 > news >正文

WIF基本原理（4）联合身份验证实例

news 来源：原创 2024/4/30 10:39:56

WIF基本原理（4）联合身份验证实例

联合身份验证实例

本实例要实现合作伙伴员工通过单一登录来尝试访问其他合作伙伴域中的资源。联合身份验证方案中有三个主要角色：标识提供方、声明提供方和信赖方。WIF会提供API 来构建所有这三个角色。

图15-11说明了典型的联合身份验证方案。在此方案中，Fabrikam员工希望无需重新登录即可访问 Contoso.com 资源，也就是使用单一登录。

图15-11 联合身份验证

参与此方案的虚构用户包括：

q Frank：希望访问Contoso资源的Fabrikam员工。

q Daniel：在应用程序中实施必要更改的 Contoso 应用程序开发人员。

q Adam：Contoso IT管理员。

此方案中涉及的组件包括：

web1：一个部件订购Web应用程序，使用ASP.NET构建，用于控制对相关部件的访问。

sts1：一个STS，扮演Contoso.com中的声明提供方角色，可发出应用程序 (web1) 预期的声明。它已经与Fabrikam.com建立信任，并被配置为允许访问Fabrikam员工。

sts2：一个STS，扮演 Fabrikam.com 中的标识提供方角色，可提供对Fabrikam员工进行身份验证的终结点。它已经与Contoso.com 建立信任，让 Fabrikam 员工可以访问 Contoso.com 资源。

如图15-4所示，此方案中的流程如下：

1) Contoso管理员Adam对应用程序 (RP) 与 sts1之间的信任进行配置。

2) Contoso管理员Adam对与作为标识提供方的sts2之间的信任进行配置。

3) Fabrikam管理员Frank对与作为声明提供方的sts1之间的信任进行配置，然后访问应用程序。

下面来看实现联合身份验证的简要流程。

步骤1 设置声明提供方。

为Contoso.com管理员Adam提供三个可用选项：

q 安装STS产品，如ADFS 2.0。

q 订阅云STS产品，如LiveID STS。

q 使用WIF构建自定义STS。

可以根据业务需要、时间表、技术资源的可用性、划拨的预算等几个因素来选择选项。对于此示例方案，们假设 Adam选择选项1，并使用 ADFS 2.0 产品文档将 ADFS 2.0安装为RP-STS。

步骤2 安装WIF。

添加代码清单15-3所示的代码来枚举声明。

代码清单15-3 枚举声明

// Get the access to IClaimsIdentityIClaimsIdentity claimsIdentity = ((IClaimsPrincipal)Thread.CurrentPrincipal).Identities[0];

foreach ( Claim claim in claimsIdentity.Claims ) { // Before using the claims validate that this is an expected claim. // If it is not in the expected claims list then ignore the claim. if ( ExpectedClaims.Contains( claim.ClaimType ) ) { // Write out the claim or use the claim as needed by application logic WriteClaim( claim, table ); } }

步骤3 建立从信赖方应用程序到 STS的信任。

Daniel使用Federation Utility工具建立从RP应用程序到STS的信任。该工具还会为RP应用程序生成元数据，并将xml文件 (metadata.xml) 放入RP应用程序的文件夹内。RP应用程序web.config文件中有关 STS (sts1) 的信息会自动得到更新。