Shibboleth 和 .NET

Question

我需要 ASP.NET Web 应用程序使用 Shibboleth 进行身份验证。以前有人这样做过吗？是否有库支持方法调用？或者这是 Java 独有的东西？

Answer 1

这绝对不仅仅是 Java 的东西，Shibboleth 网站上有一个 Apache 模块可供下载。

我不知道是否有任何特定于.NET 的内容。

我们不久前实现了 Shibboleth，最初尝试使用 Java 解决方案 - 这是一场噩梦。 Java 应用程序编写得很糟糕，有很多错误，而且文档也很糟糕。麻烦不断，我们最终决定在专用服务器上使用 Apache 模块，并将成功验证的用户转发到我们的 Tomcat 应用程序上。
Apache 模块的安装、配置和工作非常简单。

不知道您是否已经意识到，Shib 文档和网站非常难以浏览 - 寻找任何有用的信息都是一场斗争。我确实去那里寻找 .NET 实现，但放弃了！

如果我们的 Java 经验可以作为参考，我会认真建议您设置一个安装了 Shibboleth 模块的 Apache 服务器，这样可以避免您陷入痛苦的世界。

这是一个很好的网站，用于在设置好 Shibboleth 安装后对其进行测试： http:// www.testshib.org/testshib-two/index.jsp

如果您确实找到了一个好的.NET 解决方案，那么我将非常有兴趣了解它。祝你好运！

Answer 2

我知道这是一个非常古老的问题，但我认为我可以为那些从谷歌寻找答案的人做更好的扩展。

正如上面所建议的，您确实想要配置 Web 服务器来加载模块。 shibboleth 的困难部分是配置文件，但假设您组织中的其他人已经使用了 shibboleth，您可以使用他们的模板作为模板，并且它相当简单。

对于基于 .NET 的身份验证，您需要在 IIS 中配置 Shibboleth。 IIS 的默认配置创建一个名为 /secure 的目录，放置在该目录下的任何内容都需要 shibboleth 身份验证（即，它将重定向到身份提供者）。您可以将其配置为覆盖其他目录，甚至可以进行延迟身份验证。

一旦您完成了身份验证，您就可以检查标头以“读取”身份提供商传递给您的信息。 IIS 处理事情的方式与 Apache 略有不同，但仍然相当简单。如果您只想要用户名，您可以使用 HTTP_REMOTEUSER，尽管可能有更好的选择；即俄亥俄州立大学建议使用eduPersonPrincipalName。

Answer 3

正如 MatthewMartin 所说，Shibboleth 只是一个 SAML 服务器，Windows Identity Foundation 支持 SAML，如此博客文章。