Flusso Single Sign-On utilizzando ASP.NET MVC + Active Directory

2

Sto cercando di creare un portale single-sign-on costruito in ASP.NET MVC. Questo portale con accesso singolo dovrebbe offrire agli utenti la possibilità di accedere con il proprio account individuale (che deve essere verificato rispetto a AD) o il proprio account Facebook / Twitter. Quello di cui sono ancora al buio è se il flusso di applicazione / autenticazione che ho trovato è effettivamente fattibile. Ecco come dovrebbe funzionare:

L'utente accede all'SSOP con il suo account AD (utilizzando un modulo personalizzato in cui inserisce queste credenziali). L'SSOP verifica queste credenziali contro AD e di conseguenza registra l'utente in SSOP. Quindi SSOP offre all'utente l'avvio di una qualsiasi delle applicazioni a cui ha accesso (in base alle appartenenze ai suoi gruppi in AD). Queste applicazioni sono costruite da varie terze parti e non sono tutte basate su .NET. Facendo clic su una di queste applicazioni in SSOP è necessario registrare l'utente in questa applicazione utilizzando le credenziali autenticate con Active Directory che sono state utilizzate per accedere a SSOP. Al momento non so come dovrebbe essere fatto, ad es. utilizzando le attestazioni o una sorta di token di autenticazione? Ovviamente l'applicazione ricevente dovrebbe supportare qualsiasi opzione scegliamo, il che significa che stiamo cercando una best practice di alcuni tipi.

La parte di accesso social di SSOP dovrebbe funzionare da qualche parte lungo le seguenti linee: L'utente accede usando il suo account social. La prima volta che lo fa, deve anche inserire le credenziali dell'account AD in modo da poter collegare il suo account social a un account AD specifico. Ogni volta che l'utente accede con il proprio account social, l'SSOP deve accedere all'utente AD collegato. In questo modo, l'SSOP utilizza sempre un account AD valido per l'autenticazione delle applicazioni che offre all'utente. Ciò semplifica anche l'amministrazione della base di utenti poiché questi sono tutti archiviati in AD. I collegamenti di accesso social e tutti gli altri dati specifici di SSOP sono memorizzati in un archivio dati personalizzato (MS SQL db).

Ho esaminato ThinkTecture IdentityServer, ma devo ancora capire come può essere utilizzato in questo scenario o se questo scenario è persino fattibile.

Quindi, la domanda è fondamentalmente: questo flusso di autenticazione è persino possibile o da remoto? Se sì, da dove cominciare? E se no, che cos'è?

    
posta Steven Thewissen 08.06.2015 - 10:38
fonte

0 risposte