这些是用于 Microsoft 服务单点登录的众多技术和流行语。
有人可以解释一下 ADFS、WIF、WS Federation、SAML 和 STS(安全 token 服务),包括它们的使用地点和时间。
最佳答案
ADFS(Active Directory 联合身份验证服务)- 由 Microsoft 生产并基于 Windows Identity Foundation (WIF) 构建的现成安全 token 服务 (STS)。依赖AD进行身份验证。可用于主动(SOAP Web 服务)或被动(网站)场景,并支持 SAML token 、WS-Federation、WS-Trust 和 SAML 协议(protocol)。它可以用作身份提供商(针对 AD)或联合提供商。
http://technet.microsoft.com/en-us/library/adfs2(v=ws.10).aspx
WIF (Windows Identity Foundation) - 用于在 .NET 应用程序和依赖方中驱动基于声明的身份验证的 .NET 库。它还可以用作 WS-Trust 客户端并构建自定义 STS。
WS-Federation - 依赖方和 STS 用于协商安全 token 的协议(protocol)。应用程序使用 WS 联合从 STS 请求安全 token ,STS 使用 WS 联合协议(protocol)将 SAML 安全 token 返回(大多数情况下)给应用程序。这通常是通过 HTTP(GET、POST 和重定向)进行的。将此与 WS-Trust 进行对比,后者完全基于 Web 服务。
SAML token (安全断言标记语言)- 这只是用于安全 token 的 XML 格式,通常捕获用户信息(声明)和其他相关的安全相关数据(签名、 token 颁发者等)。应用程序使用 token 来验证用户身份并驱动应用程序行为(例如授权)。 SAML 安全 token 经过完整性签名并可选择加密,因此只有 RP 和 STS 才能看到其内容。在使用 WIF 的 ASP.NET 网站中, token 默认加密并分块到 cookie 中,但这可以更改。
http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
STS(安全 token 服务)- 如上所述,STS 是位于依赖方应用程序和用户之间的代理。 STS 是安全 token 的发行者。 “发行人”通常是 STS 的同义词。 STS 配置为两种角色:在对用户进行身份验证时作为身份提供商 (IdP) 或作为联合提供商( FP),当他们位于信任链中间并充当其他 IdP 的“依赖方”时。 IdP 需要一种对用户进行身份验证的方法。有些(如 ADFS)使用 Active Directory,其他则使用自定义数据库,如 SQL Server 成员资格(而不是 ADFS)。如果用户正确验证,STS将颁发安全 token 。
http://msdn.microsoft.com/en-us/library/ff650503.aspx
http://docs.oasis-open.org/ws-sx/ws-trust/v1.4/os/ws-trust-1.4-spec-os.html#_Toc212615442
希望这有帮助。在基于声明的身份验证中有很多概念和部分需要理解。要全面了解,您应该查看 A Guide to Claims-Based Identity and Access Control .
关于single-sign-on - ADFS、WIF、WS Federation、SAML 和 STS 之间有什么区别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7979254/