请原谅我,我是 Shibboleth/SAML 2 菜鸟。希望这些都是简单的问题。
我recently posted asking whether we could do Shib / SAML 2 integration with Azure ACS 。这些答案让我相信我们不能使用 ACS,而是使用较低级别的 WIF + SAML2 扩展 CTP 库来实现某些功能。
就相关事宜,我调用我们的一家附属机构,询问他们是否可以使用其 InCommon Federation 成员(member)资格将我们的应用程序添加为服务提供商。他们问我是否要在托管 MVC3 Web 角色的 Azure 计算机上安装 Shibboleth 服务提供程序。
在他们提到这一点之前,我不知道有一个 Shibboleth Service Provider installer 。根据迄今为止我读到的有关 SAML2 的所有内容,我的印象是我们的 mvc3 Web 角色是服务提供商。
那么,Shibboleth 服务提供商是什么?它有什么作用?将其安装在我们的 Azure 实例上会增加什么值(value)?我是否必须拥有它才能 SSO 对抗 Shibboleth?或者我们可以只做纯 saml2 吗?
我的偏好是不安装它,因为它必须安装在每个角色实例上,从而导致部署时间更长。
最佳答案
在此问题中,有一些有关在 Web 应用程序前面使用 Shibboleth 2 进行 SSO 的信息: In order to implement SAML do I need Shibboleth SP installed on my host? ;答案是以 linux/Java 为中心的。
Shibboleth SP 是一款产品,您可以在现有 Web 应用程序前面使用,甚至可以在可以添加到现有 Web 应用程序中的特定 SSO 登录 URL 前面使用。如果您的应用程序已经有了用户的概念,那么您可以简单地弄清楚如何将身份提供者的用户属性映射到您的应用程序用户。您和您的附属公司需要想出如何将身份提供商的身份映射到您的应用程序上的身份。您可能有一些共享数据,或者当用户首次使用 SSO 时,您可能需要设置该数据。
Shibboleth SP 提供的值(value)在于它是一款实现您可能需要的所有 SAML 2.0 交互的产品。使用 Shibboleth 配置 SAML 2.0 Web-SSO 并让 Shibboleth 模块将变量添加到 HTTP 请求中非常简单,这些变量包含身份提供商将向您发送的 SAML 2 断言中的所有属性。
如果您可以使用 Azure ACS 完成所有这些操作,则无需安装 Shibboleth。我有限的理解是 Azure ACS 可能已经支持 SAML 2.0 Web SSO:http://saml.xml.org/news/windows-azure-gains-single-sign-on-support
关于asp.net-mvc-3 - 什么是 Shibboleth 服务提供商,我可以并且应该为 Windows Azure MVC3 Web 角色安装它吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8821638/