WIF(Windows Identity Foundation)是用於構建標識應用程序的框架。該框架將 WS-Trust 和 WS-Federation 協議抽象化,並向開發人員呈現用於構建安全令牌服務和聲明感知應用程序的 API。應用程序可以使用 WIF 處理安全令牌服務頒發的令牌,並在 Web 應用程序或 Web 服務中,根據標識做出決策。
WIF具有以下主要功能:
1) 構建聲明感知應用程序(信賴方應用程序)。
WIF可幫助開發人員構建聲明感知應用程序。 除了提供新的聲明模型,它還為應用程序開發人員提供了一組豐富的 API,幫助他們根據聲明做出用戶訪問決策。無論開發人員選擇在 ASP.NET 還是 WCF環境下構建應用程序,WIF都為他們提供一致的編程體驗。
2) Visual Studio模板。
WIF提供了適用於聲明感知 ASP.NET 網站和 WCF Web 服務應用程序的內置 Visual Studio 模板,可縮短熟悉基於聲明的編程模型的學習時間。
3) 在聲明感知應用程序和 STS之間輕松建立信任。
WIF提供了一個名為 FedUtil 的實用工具,允許在聲明感知應用程序和 STS(如 ADFS 2.0 和 LiveID STS)之間輕松建立信任。FedUtil支持ASP.NET 和 WCF 應用程序。它還與Visual Studio 集成,這樣在解決方案資源管理器中右鍵單擊項目,然後選擇“添加STS引用”菜單項即可調用,或者在 Visual Studio 中通過“工具”菜單調用。
4) ASP.NET 控件。
ASP.NET 控件可簡化ASP.NET頁面的開發,該頁面用於構建聲明感知 Web應用程序。
5) 聲明和 NT 令牌之間的轉換。
WIF包括一個Windows服務,該服務可作為聲明感知應用程序和基於NT令牌的應用程序之間的橋梁。 它為開發人員提供了將聲明轉換為NT令牌標識的簡單方法,得以從聲明感知應用程序訪問需要基於 NT 令牌的標識的資源。
6) 在聲明感知應用程序中構建標識委派支持。
WIF提供了跨多個服務邊界保持原始請求者標識的功能。在框架中使用“ActAs”或“OnBehalfOf”函數可實現此功能,開發人員可利用此功能在聲明感知應用程序中添加標識委派支持。
7) 構建自定義安全令牌服務 (STS)。
WIF使得構建支持 WS-Trust 協議的自定義安全令牌服務 (STS) 變得極其容易。此類STS也被稱為主動 STS。
此外,該框架還為構建另一類 STS 提供支持,該STS支持 WS-Federation 以啟用 Web 浏覽器客戶端。此類STS也被稱為被動STS。
WIF主要支持以下方案:
方案1 聯合身份驗證。
WIF可在兩個或多個伙伴間構建聯合身份驗證。 它對構建聲明感知應用程序 (RP) 和自定義安全令牌服務 (STS) 的支持可幫助開發人員實現此身份驗證方案。
方案2 標識委派。
通過WIF可輕松跨服務邊界維護標識,以便開發人員可實現標識委派身份驗證方案。
方案3 升級身份驗證。
應用程序內不同資源的身份驗證要求可能各不相同。 使用 WIF,開發人員可以構建可能需要增量身份驗證要求的應用程序,例如:初始登錄時使用用戶名/密碼身份驗證,然後升級至智能卡身份驗證。
通過使用 WIF,可以更輕松地從本主題所述的基於聲明的標識模型中獲益。
WIF令牌類型包括:SAML 1.1、SAML 2.0、X.509、UPN、Windows(Kerberos或 NTLM)、RSA密鑰對。
WIF身份驗證類型包括:密碼、Kerberos、SecureRemotePassword、TLSClient、X.509、PGP、Spki、XmlDSig、未指定。
------------------------注:本文部分內容改編自《.NET 安全揭秘》
作者:玄魂
出處:http://www.cnblogs.com/xuanhun/
查看本欄目
