Azure Active Directory и WCF

Как защитить службу WCF с помощью Azure Active Directory:

Мой статус: — моя служба WCF, содержащая бизнес-логику, размещена в Azure WebRole.

Мне нужна ваша помощь в следующем:

  • Настройте мою службу WCF в Azure для интеграции процесса проверки подлинности в Azure Active Directory.
  • Настройте мой клиент WCF для получения токенов из каталога Azure Active, указав его [имя пользователя/пароль].
  • Настройте мою службу WCF для проверки токенов клиента.

Ограничения моей среды:

  • WCF 4.5.
  • ВИФ 4.5.
  • Визуальная студия 2012.
  • Это доказательство концепции, и я должен использовать самоподписанные сертификаты.

azure active-directory wcf ws-trust wif
person Mahmoud Samy    schedule 31.03.2013    source источник
comment
Добро пожаловать в StackOverflow. Пожалуйста, не дублируйте вопросы. stackoverflow.com/questions/15744763/. Или рассмотрите возможность пометки универсального для удаления.   -  person Aleksei Anufriev    schedule 01.04.2013

Ответы (1)


arrow_upward
1
arrow_downward

Ответ Алексея должен помочь вам начать. Но одно я бы упомянул:

Используя Azure ACS, я создал [имя пользователя/пароль] для каждого пользователя через [удостоверения службы ACS].

В производстве вы не должны этого делать. Идентификаторы служб предназначены для авторизации служб, которые являются доверенными подсистемами, где сам ключ не раскрывается извне. Имейте в виду, что ACS — это поставщик федерации, а не поставщик удостоверений. Он в основном предназначен для связывания существующих систем идентификации, а не для хранения учетных данных пользователей. Если ваша система растет, используя идентификаторы служб в качестве учетных данных пользователей, вы столкнетесь с проблемами масштабирования и управления учетными записями пользователей (паролями).

Как доказательство концепции, это нормально. Но для чего-то реального вы можете положиться на локальную рекламу, поставщиков потребительских удостоверений, таких как facebook и google, или проверить http://www.windowsazure.com/en-us/manage/services/identity/

person Andrew Lavers    schedule 02.04.2013
comment
У меня ограниченное количество пользователей, и [удостоверения службы ACS] соответствуют моим планам масштабирования. - person Mahmoud Samy; 07.04.2013
comment
Проблемы с идентификацией служб не ограничиваются масштабом. Следует также помнить о том, что настоящие поставщики удостоверений поставляются с некоторыми важными встроенными компонентами, такими как предоставление пользователям возможности изменять свои собственные пароли и автоматический сброс забытых паролей по электронной почте. Пароли идентификации службы также хранятся в виде открытого текста. - person Andrew Lavers; 07.04.2013
comment
Можно ли использовать gmail или yahoo в качестве IdP для аутентификации моих клиентов службы WCF? - person Mahmoud Samy; 07.04.2013
comment
Да, но вход в Google или Yahoo должен быть выполнен в браузере. Ваше клиентское приложение должно открывать элемент управления браузером и отправлять его в ACS, который затем перенаправляет на страницу входа в Google или Yahoo. Это все более распространенный шаблон для клиента. Например, приложения магазина Windows имеют встроенный способ сделать это: (msdn.microsoft.com/en-us/library/windows/apps/hh750287.aspx) - person Andrew Lavers; 10.04.2013