Siteminder 替代方案

Question

我们将设置一个新环境，建议使用 SiteMinder 来帮助内部用户和联合用户进行 Web 应用程序身份验证/授权。然而，我们在 Siteminder 方面没有获得良好的体验，因此希望避免使用它 - 您会建议什么替代方案？

编辑：我们目前计划成为 RP/SP，但有一天也可能成为 IdP。 OpenID 是我们计划的第一个 IdP，但将来会扩展到更多 IdP

Answer 1

如果内部用户位于 Active Directory 中，您可以使用 ADFS (v2)。您不需要 ADFS 的额外许可证，因为它是操作系统组件。对于外部用户，您可以使用支持 OpenID、LiveID、Yahoo!、Google（以及任何 WS-Federation IdP）的 ACS (*)。

从高层次来看，它看起来像这样：

您将使用 WIF 来“声明启用”您的应用程序。

(*) 截至 2015 年 2 月：MSFT 可能会停止或取消对 ACS 的投资。但它仍然可用。

Answer 2

ADFS（Windows Server 2012 R2 及更高版本）可与任何 SAML 或 OpenID Connect 身份提供商配合使用，并且非常易于设置。 ADFS 服务器必须是域成员，但不必使用 Active Directory 来验证用户身份。

您可以将您的应用程序与 ADFS（作为依赖方）联合，然后将 ADFS 与外部身份提供商（作为声明提供商）联合。