none
Alternativas de Security Token Service RRS feed

  • Pergunta

  • Olá,

    Estou desenvolvendo um sistena com autenticação baseada em Claims, porém estou com problemas para encontrar uma alternativa de IP-STS que atenda o projeto. A primeira opção que encontrei seria utilizar o ADFS 2, porém a aplicação será hospedada em nossos sevidores, enquanto a autenticação será para pessoas externas (os fornecedores dos nossos clientes) que nem temos contato, assim a integração com o domínio não seria interessante.

    Encontrei alternativas como o StarterSTS, porém a própria equipe do projeto orienta que ele seja utilizado apenas no ambiente de desenvolvimento. Também encontrei vários locais alertando contra o risco (segurança, etc.) de desenvolver seu próprio IP-STS.

    Minha dúvida é quais opções ao ASDF 2 eu encontro para o ambiente de produção?

    terça-feira, 10 de maio de 2011 14:55

Respostas

  • Boas Bruno,

    A ideia por trás do StaterSTS é ter um STS interagindo com os recursos do ASP.NET (Membership, Roles e Profile), onde você pode utilizar toda a infraestrutura que o ASP.NET fornece, e com esse STS customizado que foi criado pelo Dominick, você poderia permitir com que as suas aplicações e/ou serviços fizessem uso destes.

    Eu nunca o utilizei. Tenho baixado aqui e é algo que eu vou explorar/estudar nos próximos dias. De qualquer forma, esse projeto foi criado pelo Dominick Baier, que é um expert em segurança de software. Se se sentir confortável, mande um e-mail para ele, para questioná-lo a respeito. Ele é bem prestativo, e com certeza irá te ajudar.

    Este é o site dele: http://www.leastprivilege.com/. Em qualquer post, há um ícone com um envelope, que você pode utilizar para enviar o e-mail. Se conseguir falar com ele, volte aqui e post a sua decisão. ;)
    http://www.israelaece.com
    • Marcado como Resposta Bruno Albano sexta-feira, 13 de maio de 2011 11:17
    quinta-feira, 12 de maio de 2011 11:08
    Moderador

Todas as Respostas

  • Boas Bruno,

    Você não consegue criar o ADFS 2.0 na sua empresa, e depois disso, estabelecer uma relação de confiança com as empresas conveniadas? Isso poderia habilitar usuários dos seus clientes acessarem a sua aplicação/serviço, se autenticando lá na própria empresa deles, e quando ele chega à sua aplicação/serviço, tudo o que ele precisa fazer é passar pelo processo de transformação de claims (caso isso seja necessário).

    Quem disse que o StaterSTS não está pronto para produção? O próprio Dominick?
    http://www.israelaece.com
    quarta-feira, 11 de maio de 2011 02:15
    Moderador
  • Obrigado pela resposta Israel.

    A questão da relação de confiança do ADFS 2.0 não seria tão interessante, pois é uma aplicação de orçamentos de compras, então 90% dos usuários são fornecedores dos nossos clientes que não temos contato, muitos deles não possuem uma estrutura que permita esse recurso.

    Sobre o StarterSTS, na página inicial do projeto no codeplex(http://startersts.codeplex.com/) diz "Though you could use StarterSTS directly as a production STS, be aware that this was not the design goal. (...)". Em outros locais encontrei informações dos riscos de criar o próprio STS, então fiquei preocupado se é a melhor solução.

    É indicado utilizar o StarterSTS para produção também?


    quarta-feira, 11 de maio de 2011 11:17
  • Boas Bruno,

    A ideia por trás do StaterSTS é ter um STS interagindo com os recursos do ASP.NET (Membership, Roles e Profile), onde você pode utilizar toda a infraestrutura que o ASP.NET fornece, e com esse STS customizado que foi criado pelo Dominick, você poderia permitir com que as suas aplicações e/ou serviços fizessem uso destes.

    Eu nunca o utilizei. Tenho baixado aqui e é algo que eu vou explorar/estudar nos próximos dias. De qualquer forma, esse projeto foi criado pelo Dominick Baier, que é um expert em segurança de software. Se se sentir confortável, mande um e-mail para ele, para questioná-lo a respeito. Ele é bem prestativo, e com certeza irá te ajudar.

    Este é o site dele: http://www.leastprivilege.com/. Em qualquer post, há um ícone com um envelope, que você pode utilizar para enviar o e-mail. Se conseguir falar com ele, volte aqui e post a sua decisão. ;)
    http://www.israelaece.com
    • Marcado como Resposta Bruno Albano sexta-feira, 13 de maio de 2011 11:17
    quinta-feira, 12 de maio de 2011 11:08
    Moderador
  • Olá Israel,

    Eu enviei um e-mail para o Dominick e ele confirmou que o StaterSTS é utilizado em produção por várias pessoas (inclusive por ele). Vou implementar a solução e também já vou estudar o novo projeto do Dominick, o IdentityServer, que parece bem interessante também.

    Obrigado pela ajuda!

    sexta-feira, 13 de maio de 2011 11:17