Windows Identity Foundation-IdentityProvider 发起的 SSO

Question

感谢您的阅读。我正在尝试在我的网站 (Site1) 和我们关联的另一个网站 (Site2) 之间执行 SSO。我想使用 WIF 和 STS。我的网站已连接到 SQL Server 数据库，并且我针对该数据库进行身份验证。通过身份验证后，我想在主页上显示一个链接/图标，链接到其他站点（site2）并提供其他站点（site2）所需的声明。从我在网上看到的情况来看，大多数情况是在 site2 上请求资源时，系统重定向到 STS 站点，并且在 STS 成功登录后，声明将呈现给 site2 并为用户提供访问权限。如何实现 IDP 发起的 SSO？单击登录后的链接时，我想对 site2 页面进行身份验证。

Answer 1

使用基于声明的身份验证（使用 WIF 和 ASP.NET）的此方案的最简单实现是让 Site1 和 Site2 都信任 STS。所以会有 3 个组件。其他答案（以及您的问题）似乎表明 Site1 和 STS 是一个整体，通常不建议这样做。

序列为：

1. 用户首次访问 Site1。既然他是
   未经身份验证，他会被重定向到 STS。
2. STS 对用户进行身份验证并为 Site1 颁发令牌。与用户创建会话。
3. 浏览器将令牌发回到另一个会话所在的 Site1
   创建的。
4. 用户单击 Site2 的链接。对于 Site2，用户是
   未经身份验证，因此重定向到 STS
5. 用户到达 STS。他已经通过身份验证，STS 继续为以下对象颁发第二个令牌
   Site2（可能且经常具有不同的声明）
6. 浏览器将第二个令牌发回 Site2。会话已创建。

更新：
声明指南的本章讨论 SharePoint 特定设置和配置。
http://msdn.microsoft.com/en-us/library/hh446525。 ASPX