這種情況下最適合的認證技術是什麼？

Question

請建議我在下面提到的場景中實現的最佳身份驗證方式：

需求是我必須在全球多個國家部署WCF Web服務。

注意：所有在其上部署服務的機器位於同一個域中。

1.訪問此服務的客戶端應該屬於同一個域，否則認證應該失敗。

目前我使用使用「視窗」

Answer 1

我curous你爲什麼會想域是相同的，如果它需要在世界各地不同國家進行部署消息安全模式。除非您正在討論將服務託管在未公開的內部網絡上，否則強制執行相同的域名可能會很困難。不同的國家有不同的域標準。美國有更豐富的域名可供選擇。其他國家通常有一個國家特定的根，可能有一個區域性的根。

我不會將您的服務耦合到託管它的域，也不建議將域用作身份驗證的一個因素。如果您的服務需要在這些國家/地區的互聯網上公開披露，我建議您使用Windows安全以外的其他服務。基於聲明的安全機制可能效果最佳。在服務實現內部，可以檢查聲明，並且如有必要，可以將Windows身份驗證與WCF身份驗證分開進行驗證。聲明還允許您不僅使用用戶名/密碼或證書來完全驗證和授權客戶端請求。您可以請求呼叫者域名，國家，地區和其他證據包含在索賠中，從而使您可以驗證呼叫是否從適當的位置和相應的客戶端進行，比使用Windows身份驗證更靈活（如果您公開公開您的服務，Windows身份驗證可能無法使用）

Answer 2

由於您在Intranet上運行並假設您的Windows應用程序將直接連接到該服務，因此我將使用Windows身份驗證與Transport Security一起使用。

有關指導，請參閱patterns & practices Improving Web Services Security Guide。

我仍然質疑您是否需要授權。如果您在未經授權的情況下使用Windows身份驗證，它將簡化您的服務，但將允許任何域用戶訪問您的服務，無論他們是否使用Windows應用程序。當然，他們必須瞭解端點和消息結構，但他們仍然有可能這樣做。

如果Windows身份驗證確實是所有需要的，我會仍然提出授權問題並將其記錄（並在適用時取消簽名）。一方面這涵蓋了你，但也使人們明確瞭解決策和可能的風險。