Windows Identity Foundation不正式支持SAML 2.0;使用WIF CTP還是堅持使用SAML 1.1？

Question

我們希望將SAML 2.0用於Single Sign On解決方案。作爲一個典型的微軟商店，我們傾向於儘可能使用Microsoft組件。 Windows Identity Foundation支持SAML 2.0，但該擴展仍在社區技術預覽版（CTP）中使用超過一年，未來課程中沒有任何信息。看到http://blogs.msdn.com/b/alikl/archive/2011/05/16/windows-identity-foundation-wif-extension-for-saml-2-0-protocol-community-technology-preview-ctp.aspx

我遇到了米歇爾布斯塔曼特的一篇鼓舞人心的文章：http://www.devproconnections.com/article/federated-security/generate-saml-tokens-using-windows-identity-foundation她積極推動WIF + SAML 2.0，但她沒有在文章中談論CTP或最終發佈。我也無法與她聯繫澄清。

有了這樣的背景，對於SAML 2.0使用WIF社區技術預覽還是使用SAML 1.1安全？ SAML 2.0與SAML 1.1相比具有明顯的優勢嗎？有問題的SAML 1.1的未來？

其他選擇？

Answer 1

您應該說明您是在談論SAML 2.0協議（例如SAMLP）還是僅僅是令牌類型。 WIF RTM支持SAML 2.0令牌，但不支持SAMLP。

因此，如果只需要SAML 2.0令牌支持，WIF RTM就足夠了，儘管WIF擴展CTP確實增加了一些SAMLP支持。

如果您正在尋找SAMLP解決方案並且您是微軟商店，那麼您應該考慮ADFS 2.0。 ADFS 2.0將執行「協議轉換」：它將與身份提供商和WS-Federation與您的應用交談SAMLP（都使用SAML「Tokens」）。 WIF支持WS-Federation。

Answer 2

看看Identity Server這是一個使用SQL Server進行身份驗證的STS。您可以輕鬆地將此與ADFS聯合起來。我記得關於閱讀CTP版本的許可協議，它只是在那裏發表評論 - 你不能使用它，例如，在生產環境中。

根據@Eugenio，WIF只支持WS-Federation。

你打算如何「堅持使用SAML 1.1」？

更新：我建議您使用Identity Server對數據庫執行身份驗證。您的WIF應用程序使用FedUtil綁定到Identity Server。然後您將Identity Server與ADFS聯合。您的外部團體使用SAML與ADFS進行對話，ADFS將處理這些管道以使他們能夠使用Identity Server DB進行身份驗證。

請注意，WIF根本不支持SAML。