單點登錄ASP身份保護多個應用程序

Question

我對於可用的單點登錄選項非常新穎。我目前需要在同一產品系列中保護多個應用程序集，並且不知道從哪裏開始。

一些基本要求是

1. 用戶應該能夠進行一次認證，以及基於證書的用戶會被重定向到所需的應用
2. 一箇中央管理控制檯應該可以爲管理員簡化角色分配，以及授予訪問權限根據需要
3. 用戶可以對某些應用，但某些敏感的應用註冊需要管理員批准的用戶可以成功登錄前的各種應用。
4. 此SSO還應使用某種權限邏輯保護API，例如只有主管角色可以刪除記錄
5. 用戶應該能夠向OAuth提供商註冊，例如Facebook，Twitter，谷歌& Windows直播。
6. SSO提供應該是簡單的實現爲平臺，例如Windows應用程序，Web應用程序，許多移動&服務

我不知道從哪裏開始，我已經通過像做了快速閱讀ADFS https://msdn.microsoft.com/en-us/library/bb897402.aspx，但沒有IDEA，如果這將滿足上面列出的所有要求。

任何幫助指出我在正確的方向將不勝感激！

Answer 1

你是混淆兩個不同的概念，即：

• 認證
• 置備

ADFS只做前者。您需要使用Identity Manager（IM）來完成後者。

所以：

用戶應該能夠認證一次，並根據憑證用戶將被重定向到所需的應用

我將注意力集中在微軟世界。 ADFS和Azure AD都可以做到這一點。用戶 - >程序 - > IDP - 驗證 - >迴應用程序

中央管理控制檯應該可以根據需要

管理員簡化角色分配，以及授予訪問各種應用程序

IM功能。 AAD可以完成組的分配，但並沒有真正的工作流程。您可以使用Windows Server中的「Active Directory用戶控制」來手動編輯供ADFS使用的AD屬性。

用戶可以針對特定應用註冊，但一些敏感的應用程序需要管理員的批准，用戶可以成功登錄前

IM - 需要的工作流程

這SSO還應該使用某種權限邏輯來保護API只有主管角色可以刪除記錄

這是兩個。 ADFS 4.0（Server 2016）可以像AAD一樣保護Web API。如上所述刪除角色即時消息。

用戶應該能夠通過OAuth供應商，如Facebook，Twitter，谷歌&的Windows Live註冊。

微軟的社交互動有限。您可以使用AAD添加一些社交提供商。我使用Auth0和聯邦，因爲它有大量的社交提供者。 Azure B2C可能適用於此。

的SSO提供商應該簡單落實到平臺如Windows應用程序，Web應用程序，許多移動&服務

對於Web應用程序，你可以使用SAML，WS美聯儲，OpenID Connect & OAuth。

對於Windows應用程序，您可以使用OpenID Connect & OAuth。

對於移動&服務，您可以使用OpenID Connect & OAuth。 （注意有四種流程可以滿足不同的場景）。

ADFS 4.0（Server 2016）和AAD可以支持以上所有。