本文討論:
什麼是聯合身份驗證
使用 ADFS 在 ASP.NET 應用程序中實現聯合身份驗證
信任關系和安全性注意事項
本文使用了以下技術:
ADFS 和 ASP.NET
Active Directory 聯合身份驗證服務 (ADFS) 是 Windows Server® 2003 R2 最重要的組件之一。ADFS 能夠 解決很多問題,而其中最顯而易見的就是企業到企業的自動化控制問題。在這篇文章中,我將從一個開發 人員的角度來分析 ADFS,我們假設這個開發人員正在構建一個 Web 應用程序,而且希望其他組織也能夠 使用這個程序(若要了解從管理員角度對 ADFS 的分析,請參閱 TechNet Magazine 上 Matt Steele 的 文章)。
那麼,我所說的企業到企業的問題究竟是什麼呢?假設有一家名為 Fabrikam 的自行車制造商想發布 一個 Web 應用程序,使授權經銷商能夠通過這個應用程序以批發價購買自行車和零部件。但是, Fabrikam 的經銷商有兩百多家,而且每個經銷商都有好幾名員工需要使用這個應用程序。因此, Fabrikam 必須建立起一個安全性很高的登錄機制。
最直接的解決方案就是創建一個包含用戶名和 密碼的數據庫,但這種方法的管理成本非常高。如果有人致電 Fabrikam,聲稱自己是某個經銷商的員工 ,那麼,Fabrikam 該如何驗證其真實性呢?他們可能首先與這家經銷商公司裡某個值得信任的人取得聯 系,證實這名員工的身份,然後才開始設置新的帳戶。您可以考慮一下這類用戶帳戶的維護成本:人們可 能會忘記用戶名和密碼,當然,還可能遇到其他問題。如果這名員工離開了這家經銷商公司,會出現什麼 情況呢?會有人記得要通知 Fabrikam 應該刪除他的用戶帳戶(用身份標識術語的說法,就是取消設置) 嗎?如果沒有的話,那麼這個用戶可能會在自己家裡用該經銷商的身份去下假的訂單。
密碼本身 也存在另一個問題。隨著計算能力的不斷增強,破解密碼變得越來越容易,如今,很多組織都傾向於使用 更為強大的身份驗證技術,例如智能卡。但是,由於 Fabrikam 必須面對眾多不同的經銷商,如果采用比 密碼更強大的身份驗證技術,那麼 Fabrikam 一定會應接不暇。
值得注意的是信任在這裡也是一 個重要因素。Fabrikam 相信每一家經銷商能夠提供准確的員工清單,這些員工將被允許通過 Fabrikam 的 Web 應用程序進行采購。
