通过 ADFS 对 Web 服务的用户进行身份验证

Question

我希望有人能够证实我对 ADFS 与 WCF 的理解（或缺乏！）。

我什至画了一张漂亮的图表。

“Bob”使用托管在客户域上的 Web 应用程序。客户端通过 AD 对 Bob 进行身份验证。但是，该 Web 应用程序使用由供应商开发和托管的 WCF 服务。

客户和供应商之间已经建立了信任。

我的问题 - 当 Web 应用程序使用 WCF 服务时，我希望 WCF 服务重新验证“Bob”，然后 WCF 服务可以使用客户端上的 ADFS 服务器返回的声明。< /strong>

这张图对吗？

Answer 1

几乎。将 Web 服务和 ADFS (IP-STS) 之间的箭头移动到 Web 应用程序和 ADFS 之间。然后，它将发送到 Web 服务的“Bob”是一个由 ADFS 签名的令牌，其中包含有关 Bob 的声明。 Web 服务将检查此签名，如果匹配，则声明将被视为可信。

通常，对于像这样的跨组织用例，供应商还会有一个 STS（RP-STS）。 STS 之间将建立信任。然后，本地应用程序（例如，该图中的Web应用程序和服务）只需要信任其本地STS。这避免了信任关系的完全连接图。

HTH！