通过wcf访问ADFS2.0索赔

Question

目前，我正在开发一个WCF服务，作为ASP应用程序和ADFS2.0之间的中间中介，因为架构不希望该ASP应用程序直接与ADFS2.0对话。

他希望任何应用程序使用WCF服务，而该服务将提供信息(索赔)，而不使用Visual的STS配置。

所以，我找到了这个代码：https://stackoverflow.com/a/10992474/516715

这可以很好地获得索赔，但我对此有疑问：

• 如何在ASP应用程序中创建ADFS的身份验证、会话和持久cookie？
• 如何通过WCF服务关闭会话。
• 还有更多的细节要记住这个案子吗？
• 这有安全问题吗？
• 有人对此有什么建议吗？

谢谢!

Answer 1

我想说的是，你正在向整个世界敞开心扉。

有一个已建立的、经过安全审查的黄金标准模式，用于应用程序通过浏览器使用WIF与ADFS通信。

因此，您实际上要做的是通过编写一个实现所有浏览器功能的web服务来重新发明轮子，比如cookie。您的解决方案失去了ADFS提供的所有优点，例如SSO、Federation、HRD等。

现在你想通过写你自己的STS来挖掘更深的洞。

浏览器模式正是微软用于Windows Live、Office 365和Azure的模式。

那么，如果它对微软足够好，为什么你的架构师不想要它呢？