Attualmente sto gestendo un team in cui stiamo costruendo una nuova applicazione SaaS.
Il modo in cui è attualmente strutturato è che abbiamo una soluzione che ha la nostra logica e dati aziendali e una soluzione che trattiene il nostro sito web (e progetti correlati)
Nella nostra attuale base di utenti, ci sono clienti che usano diversi tipi di autenticazione:
- nome utente / password utilizzando l'architettura di appartenenza di aspnet
- Servizi Web SOAP homegrown che consentono a uno sviluppatore di connettersi tramite SSO
- SAML
I client possono avere impostazioni diverse per l'accesso, ma gli utenti all'interno dei client si registrano allo stesso modo. La grande sfida con il nostro sistema legacy è che questi sono un po '"hackerati" insieme e molto difficili da gestire. Voglio essere sicuro che siamo molto più scalabili per il futuro.
Ho esaminato l'autenticazione basata sulle attestazioni utilizzando il framework MVC e lo capisco abbastanza bene, quindi sono fiducioso che il nostro team possa costruire il framework per supportarlo. La mia sfida è con STS (server di identità), quindi ho alcune domande:
- Fondamentalmente, sto andando nella giusta direzione?
- Quale sistema possiede la conoscenza di dove un utente deve essere autenticato? Sospetto che l'STS perché ciò significherebbe che il sistema basato sulle attestazioni non può davvero preoccuparsi dell'autenticazione o dell'autorizzazione
- Ho esaminato OpenAM, OpenIDM e IdentityServer per STS, ma non riesco davvero a capire come collegarli. Sono anche sistemi STS?
- Sono disposto a spendere soldi per una soluzione, ci sono altre soluzioni che dovrei esaminare?