Single Sign-On ASP Identity Securing Mehrere Anwendungen

Question

Ich bin sehr neu in den Single Sign-On-Optionen für mich. Ich habe derzeit eine Anforderung, mehrere Anwendungssets innerhalb derselben Produktfamilie zu sichern und habe keine Ahnung, wo ich anfangen soll.

würde Einige der Basisanforderungen

sein sollte

1. Benutzer in der Lage sein, einmal zu authentifizieren, und auf der Basis der Benutzerdaten in die gewünschte Anwendung umgeleitet würden
2. Eine zentrale Management-Konsole für Administratoren zur Verfügung stehen sollten um die Rollenzuweisungen zu vereinfachen und den Zugriff auf die verschiedenen Anwendungen nach Bedarf zu gewähren
3. Benutzer können sich für bestimmte Anwendungen registrieren, aber bestimmte sensible Anwendungen erfordern eine Administratorgenehmigung, bevor sich der Benutzer erfolgreich anmelden kann.
4. Dieses SSO sollte auch eine API mit einer Art von Berechtigungslogik, z. Nur Supervisor-Rollen können einen Datensatz löschen
5. Benutzer sollten sich bei OAuth-Anbietern wie Facebook, Twitter, Google & Windows Live registrieren können.
6. Der SSO-Anbieter sollte in Vielzahl implementieren von Plattformen wie Windows Apps, Web Apps, Mobil & Dienste

Ich habe keine Ahnung, wo ich anfangen soll, ich habe einen schnellen Lese durch etwas getan, wie einfach sein ADFS https://msdn.microsoft.com/en-us/library/bb897402.aspx, aber KEINE IDEE, wenn dies alle oben aufgeführten Anforderungen erfüllen würde.

Jede Hilfe, mich in die richtige Richtung zu zeigen, würde sehr geschätzt werden !!

Answer 1

Sie sind verwirrend zwei separate Konzepte nämlich:

• Authentifizierung
• Provisioning

ADFS nur die ehemalige tut. Für Letzteres benötigen Sie einen Identity Manager (IM).

So:

Benutzer sollte einmal authentifizieren können, und auf der Grundlage der Anmeldeinformationen Benutzer würde

in die gewünschte Anwendung weitergeleitet ich auf dem Microsoft konzentrieren werde Welt. ADFS und Azure AD können dies beide tun. Benutzer -> Anwendung -> IDP - authentisiert -> zurück zur Anwendung

Eine zentrale Management-Konsole zur Verfügung stehen sollte für Administratoren Rollenzuweisungen sowie Gewährung Zugang zu den verschiedenen Anwendungen zu vereinfachen als

erforderlich

IM-Funktionalität. AAD könnte die Gruppenaufgabe erledigen, hat aber keine Arbeitsabläufe. Sie können das Active Directory-Benutzersteuerelement in Windows Server verwenden, um AD-Attribute für die Verwendung durch ADFS manuell zu bearbeiten.

Benutzer können für bestimmte Anwendungen registrieren, aber bestimmte sensible Anwendungen erfordern Genehmigung Administrator, bevor der Benutzer erfolgreich anmelden kann

IM -. Muss Workflows

Diese SSO sollte auch eine API mit einer Art von Berechtigungslogik sichern, z nur Supervisor Rollen können einen Datensatz

löschen Dies ist beides. ADFS 4.0 (Server 2016) kann die Web-API ebenso schützen wie AAD. Löschen von Rollen ist IM wie oben.

Benutzer sollten mit OAuth-Anbietern wie Facebook, Twitter, Google & Windows Live registrieren können.

Microsoft hat eine begrenzte soziale Interaktion. Sie können einige soziale Anbieter mit AAD hinzufügen. Ich benutze Auth0 und föderiere, da es viele soziale Anbieter hat. Azure B2C kann hier von Nutzen sein.

Der SSO-Anbieter sollte einfach in Vielzahl von Plattformen zu implementieren wie Windows Apps, Web Apps, Mobile & Dienste

Für Web-Anwendungen, können Sie SAML verwenden WS- Fed, OpenID Connect & OAuth.

Für Windows-Anwendungen können Sie OpenID Connect & OAuth verwenden. Für mobile & Dienste können Sie OpenID Connect & OAuth verwenden. (Beachten Sie, dass vier Flüsse für verschiedene Szenarien zur Verfügung stehen).

ADFS 4.0 (Server 2016) und AAD können alle oben genannten unterstützen.