我在Sharepoint中创建了一些身份验证模型。我想知道这是一个好方法。
我们有一些IDP在2.0版本中发送POST SAML令牌,但RP应用程序在该版本中不支持SAML,但在v1.1中。
我创建了这样的模型:
-
IDP发送SAML 2.0到SAMLHandler。aspx页
-
SAMLHandler。aspx验证SAML 2.0中的令牌(签名)并从中检索声明集合
-
基于一组声明,我在Sharepoint支持的v1.1中创建了SAML令牌,这个令牌由一些带有密码的证书签名(该证书被添加到Sharepoint管理信任存储中)。
-
这个SAML令牌v1.1被打包在WIF消息中并发送到Sharepoint, Sharepoint识别声明并最终对用户进行身份验证可以吗?
您可以使用ACS (Azure控制服务)之类的解决方案来代替SAMLHandler。因此,您将能够处理多个IDP和创建单点登录。
基本上你的解决方案看起来不错,但重新颠倒现有的东西。
您可以查看安全令牌服务。它可用于将一个安全令牌与另一个安全令牌交换。在您的情况下,您需要用SAML 1.1令牌交换SAML 2.0令牌。安全令牌服务还支持令牌验证和令牌签名。