Блог

Главная - Вопросы по программированию - Попытка единого входа в разрозненном наборе продуктов Microsoft

Попытка единого входа в разрозненном наборе продуктов Microsoft

#reporting-services #sharepoint-2010 #crm #wif

#службы отчетов #sharepoint-2010 #crm #с помощью

Вопрос:

Я рассматриваю возможность создания единого пользовательского интерфейса для входа с набором продуктов MS (CRM, SharePoint, SSRS, ASP.NET ) на основе маркера, сгенерированного в ASP.NET приложение, управляемое Windows Identity Foundation (WIF).

Интересно, существует ли простой способ проверить / пример того, генерируется ли токен IP-STS в ASP.NET приложение разрешит аутентификацию с использованием других типов приложений в наборе? У меня нет установки SharePoint или CRM.

Любые идеи приветствуются

Комментарии:

1. Что именно вы пытаетесь доказать и протестировать? Только эта проверка подлинности на основе утверждений будет работать в CRM и SharePoint?

2. @Garrett, этот основанный на заявках (т. Е. с использованием токена IP-STS) работает с набором {CRM, SharePoint, ASP.NET, SSRS} без необходимости какой-либо дополнительной аутентификации. Я рад, что это работает в ASP.NET но я хочу обосновать, что это будет работать с большим набором.

Ответ №1:

Одно уточнение: токен не генерируется в ASP.NET приложение. Он выдается во внешнем объекте, который называется IP-STS (или STS, или поставщик удостоверений, или I-STS: все означают одно и то же). Иногда IP-STS реализуется с ASP.NET , но это детали реализации. STS — это не ваше приложение.

В общем случае токен, созданный для одного приложения (the ASP.NET например, приложение) не может быть повторно использовано в другом. Но это не является обязательным требованием для единого входа с удостоверением на основе утверждений.

С учетом предоставленных вами сведений, самым простым способом единого входа в портфель приложений на 100% основе MSFT (пользовательских или упакованных) может быть простое использование проверки подлинности Windows. Особенно если вы используете AD для аутентификации. В этом случае все просто работает.

Подход, основанный на утверждениях, имеет смысл, когда:

  1. У вас есть много поставщиков удостоверений (MSFT и не-MSFT, ваш и ваших партнеров)
  2. Вы хотите включить сценарии федерации (взаимодействие многих компаний друг с другом)
  3. У вас есть набор технологических стеков (как для приложений, так и для элементов идентификации)

Если проверка подлинности Windows невозможна, а вы по-прежнему хотите использовать утверждения, вам необходимо:

  1. Определите, какие версии программного обеспечения, о которых вы упоминаете, вы хотите использовать (в SharePoint 2010 и CRM 2011 включены утверждения).
  2. Подготовьте STS (например, ADFS или что-то еще)

Комментарии:

1. поставщиком токенов может быть приложение ASP (Passive-STS, насколько я понимаю). Но я понял, что токен, выдаваемый IP-STS, должен использоваться каждым приложением (CRM, SharePoint и т.д.)?

2. Да, и I-STS — это веб-сайт. Каждое приложение получит свой собственный токен. Удобство единого входа обусловлено тем фактом, что I-STS аутентифицирует пользователя только один раз (при запросе первого токена). Последующие токены будут выдаваться с использованием предыдущего сеанса, который был у пользователя с ним. Имеет смысл?

Ответ №2:

Windows Identity Foundation (WIF) и проверка подлинности на основе утверждений поддерживаются в последних версиях SharePoint (http://msdn.microsoft.com/en-us/library/ff953202.aspx ) и Dynamics CRM (http://msdn.microsoft.com/en-us/library/gg334502.aspx ).

Для служб SSR вам потребуется создать пользовательское расширение безопасности (http://msdn.microsoft.com/en-us/library/ms155029.aspx ), или, если это в контексте SharePoint, вы можете настроить его на использование проверки подлинности на основе утверждений: http://technet.microsoft.com/en-us/library/ff487970.aspx .

Если вы используете эти продукты, вы должны быть в состоянии выполнить единый вход с помощью другого устройства с поддержкой WIF ASP.NET приложения.

Ответ №3:

Просто отметим, что он также интегрируется с Office 365 и Azure ACS.

Он также интегрируется с продуктами на базе Java (OpenAM, Ping Identity …), некоторые из которых бесплатны, но для их загрузки, установки и настройки требуется много работы.

Я не знаю «простого» способа доказать это, не устанавливая продукт.

Существует масса литературы по совместимости WIF / ADFS / единого входа. Есть ли особая причина, по которой вы не можете принять это как прочитанное?

Комментарии:

1. Спасибо. В демо-версии, с которой работает коллега, возникают проблемы с аутентификацией SSRS, ASP.NET ad CRM с одним токеном, поэтому на бумаге работает, а не на практике.