单点登录(SSO)方案--请提供指导

Question

我有一个集中的凭证存储，用于几个网站/门户网站。

每个网站都有自己独特的领域和品牌特定于一个客户。

我希望在每个门户上显示一个登录表单，并根据集中式凭据存储验证这些凭据。此外，我还想执行各种密码策略。例如，用户的密码可能在一定天数后过期。或者可能需要有8个字符，一个字母+一个数字+一个特殊字符。

我会同意将用户重定向到一个集中的网站，因为这个密码维护的大部分，但我真的想让用户在自定义域为他们的门户输入用户名/密码。

我对SAML很熟悉，它似乎让我感觉到了。但是，它似乎不支持在服务提供者上收集凭据。

我宁愿不想出一个特设解决方案，而是使用一个标准化的解决方案，如SAML，它是由一个委员会严格设计的。

我愿意考虑一个基于WIF的解决方案。

Answer 1

我想你的凭证店不是AD？

最好的计划是使用自定义STS。如果您正在使用Server，请查看身份服务器。这不支持SAML，但可以将其与ADFS联合使用。

然后，每个应用程序将使用WIF。

在您的自定义STS上，将所有自助服务密码内容放在您的登录页面上。

所以每个人都会在STS上共享相同的登录页面。

如果您希望在每个站点上登录页面，那么您可以使用WIF活动配置文件并通过web服务连接到STS登录。但是，您必须在许多页面上拥有自助服务，这将使维护变得更加复杂。