autorisation d'application dans un environnement WIF tiers de confiance

Question

Tous,

Je suis un peu confus sur certains des concepts derrière Windows Foundation Intentity et l'ajustement architectural global dans un tiers environnement « confiance » en ce qui concerne l'autorisation . Je pense que j'ai peut-être manqué quelque chose, mais je ne vois pas comment cela fonctionnerait dans le monde réel. À titre d'exemple, nous avons un certain nombre de systèmes derrière un portail. Les clients peuvent accéder au portail et, en fonction de leurs autorisations, ils peuvent accéder aux fonctionnalités de chaque application différente. Dans le scénario actuel, nous pouvons avoir une seule étape d'authentification (ID utilisateur/mot de passe) qui transmet l'identité/principal autorisé (par rapport à un magasin d'authentification personnalisé) à chaque application. L'application utilise ensuite cette identité pré-authentifiée pour rechercher ses propres rôles afin de permettre aux utilisateurs d'accéder à certaines fonctionnalités.

Tout cela est géré en interne, c'est-à-dire que chaque application comprend ses propres rôles, de sorte que chaque application possède sa propre fonction d'administration qui associe un utilisateur à un rôle. Ok, donc ça marche mais ça fait mal à gérer et notre client doit se souvenir de l'identifiant et du mot de passe de notre portail. Je voudrais passer à un environnement de confiance pour que nous ayons confiance dans le jeton de leur STS et que l'authentification soit cachée. Cependant, je ne vois tout simplement pas comment l'autorisation fonctionnera - nous demandons à chaque tierce partie d'implémenter des rôles dans leur STS pour les transmettre avec le jeton. Nous leur avons transféré l'administrateur, ce qui pourrait briser leurs modèles de sécurité de toute façon.

Nous ne pouvons donc pas leur déléguer d'autorisation, et devons toujours gérer la carte d'un jeton de confiance pour les rôles requis par l'application.

Ainsi, le grand avantage de STS de confiance, par lequel l'utilisateur A quitte la société 123 et l'utilisateur B jointures à prendre en charge, et ils ne doivent pas attendre pour nous de faire des changements ..... n'est tout simplement pas pratique dans le monde réel.

Ce qui est dommage, car j'aime vraiment l'idée.

Ai-je manqué quelque chose de fondamental?

Answer 1

Pour répondre à ma propre question, j'ai parlé à un architecte Microsoft à ce sujet et il a largement accepté. Vous pouvez créer des règles pour mapper des données tierces aux propriétés dont votre application a besoin, mais si la tierce partie n'est pas prête à modifier ses systèmes (par exemple, Active Directory), vous êtes bloqué. Par conséquent, IMO la chance d'un tiers acceptant d'ajouter de nouvelles propriétés à leur domaine AD pour soutenir votre application est minime, il laisse un trou énorme dans l'éthique qui sous-tend WIF et STS de confiance.