Siteminder替代方案

Question

我们将设置一个新的环境，并建议使用SiteMinder来帮助内部用户和联合用户进行web应用身份验证/授权。然而，我们没有良好的使用Siteminder的经验，并希望避免它-您建议什么替代方案？

编辑:我们目前正在计划成为RP/SP，但可能有一天也会成为IdP。OpenID是我们计划中的第一个IdP，但将来将扩展到其他几个

Answer 1

如果内部用户位于Active Directory中，则可以使用ADFS (v2)。您不需要额外的ADFS许可证，因为它是一个操作系统组件。对于外部用户，您可以使用支持OpenID、LiveID、雅虎！、谷歌(以及任何WS-Federation IdP) (*)的ACS。

在较高的级别上，它将如下所示：

​

​

您将使用WIF来“声明启用”您的应用程序。

(*)截至2015年2月:微软可能会停产ACS或取消对ACS的投资。不过，它仍然是可用的。

Answer 2

ADFS (Windows Server2012SAML和更高版本)可以与任何R2或OpenID连接身份提供程序一起使用，并且非常容易设置。ADFS服务器必须是域成员，但不必使用Active Directory对用户进行身份验证。

您可以将您的应用程序与ADFS (作为依赖方)联合，然后将ADFS与外部身份提供者(作为声明提供者)联合。