Azure ACS和SimpleMembership

Question

我想创建蔚蓝mvc4网站( azure )与：

• 公司范围内员工的SSO (ADFS已经与ACS联合)
• 通过本地帐户或LiveID OAuth (liveid是ACS上的IdP )访问外部(非雇员)。
• 需求是管理应用程序中的用户配置文件和角色。

我认为有以下几种选择：

1. 将我的应用程序与ACS联合起来，使用联邦身份验证，为UserProfiles和成员身份创建自定义表集等，在这种方法中，我不能使用任何现有的提供者。我在索赔方面没有必要的资料。
2. 为ACS编写自定义OAuth/OAuth2客户端(我找不到)，并使用OAuthWebSecurity注册它。这种方法似乎适合我，我可以使用SimpleMembership等。问题是，我找不到任何例子，如何实现它的正确方式。

问：

在这种情况下，正确的方法是什么？

还有其他选择来满足我的要求吗？

有OAuthWebSecurity客户端吗？

谢谢，Maciej

Answer 1

我会选择第一种方法，因为-

( a)无论如何，您都需要ws来合并ADFS b)没有OAuth客户端，ACS只支持OAuth的一些特殊用例(这就是为什么您还没有为它找到一个客户端)。

你想要完全控制你的数据库-而不是使用魔术/半烤(取决于你的观点)简单的成员资格.

Answer 2

我们最近实施了一个类似问题的解决办法。我们所做的是：

• 使用ACS和身份提供者(Windows、Google等)进行标识标记
• 使用我们自己的机制将这些标识映射到用户/角色。例如，我们在第一次登录时使用薪资数据来验证针对员工的索赔。
• 对于那些不想使用社交媒体身份的用户，我们允许他们在通过ACS链接的“自己”身份提供者上创建用户名/密码。这是一个单独的服务，并运行修改后的Thinktecture身份服务器版本。因此，我们使用thinktecture标识服务作为STS端点。
• 我们将对联邦ADFS进行同样的操作(正如您所做的那样)。

随着时间的推移，我们似乎可以使用Thinktecture服务器来替换ACS功能，并提供比ACS中可用的更多的控制(例如使用我们自己的域名)，但就目前而言，ACS可以工作，我们将保留它。但是Thinktecture服务作为简单用户名/密码的另一种登录方式，对我们来说很重要--但是它确实意味着托管一个单独的云服务。

你想从SimpleMembership得到什么？用户名/密码登录(在这种情况下使用/host/构建用户名/密码STS端点)，或者成员/角色表(这些表都不是很好)。

Answer 3

在OAUTH2中有一个ASP.NET客户端框架，我为它编写了一个ACS提供程序。web应用程序加载一个OAUTH2提供程序，它是OAUTH2端点的外观。在现实中，它向ACS (以及它的各种发行者)谈论ws-fedp。由于oauth协议或ws-fedp协议都隐藏在提供者中，所以API使用者( ASP.NET管道)不知道(或关心)。毕竟，它已经不在乎它是在谈论OAUTH1、OAUTH2还是openid在同一个API后面。

它非常有效--并且不用大惊小怪地重复使用简单的东西。工作在网页表格，网页和MVC。后两个是开源的，其源代码访问有助于了解更大的情况。