安全性 - 使用ADFS跨组织验证用户

查询授予的权限

当任一用户试图访问文档或歌曲时，A. Datum 应用程序首先在 UnderMyControl 服务中查询该用户被 授予的权限，然后只允许那些获准的操作。图 7 显示了如何执行对资源的授权。

Figure 7 以编程方式 连接到 UnderMyControl

// connect to the Under My Control web service
umc.Service svc = new umc.Service();
svc.CookieContainer =
　　(System.Net.CookieContainer)Session["CookieContainer"];
// ID for WRITE_PERMISSION in UMC for this project
const int WRITE_PERMISSION = 14;
// check if the user has write permissions for the resource in UMC
bool hasPermission = false;
if(!svc.HasACL((Guid)Session["User_GUID"], resourceGuid,
　　WRITE_PERMISSION, out hasPermission)||!hasPermission)
{
　　// if the user doesn't have permission, show an error message
　　Response.Clear();
　　Response.Write(
　　　　"You do not have permission to overwrite this file");
　　return;
}

扩展信任关系至 Tailspin Toys

在具有增强的访问控制功能的文件共享应用程序 2.0 版发布后，消费者的兴致激增，公司的利润也随 之攀升。让 A. Datum 出乎意料的是，公司发现自已与大型玩具制造商 Tailspin Toys 达成了为其提供 文档管理的协议。Tailspin 想使用 A. Datum 的文档存储应用程序让雇员可以随时访问文档，并与同事 、合作伙伴和客户共享这些文档。不过，Tailspin 不想要求每位雇员都创建一个 A. Datum 用户帐户， 同时又要维护另一个用户名和密码。解决方案还是 ADFS。

A. Datum 将 Tailspin Toys 添加为帐户合作伙伴，允许其雇员使用他们的 Tailspin Toys 安全令牌 访问 A. Datum 的应用程序，如图 8 所示。在 A. Datum ADFS 服务器和 Tailspin Toys ADFS 服务器上 建立帐户和资源合作伙伴关系所用的操作步骤与建立同 UnderMyControl.com 的信任关系所用的步骤完全 相同。

图 8 Tailspin Toys 和 A. Datum 实现

当然，出于讨论目的，Tailspin Toys 的部署已极度简化。在实际部署中，联合帐户验证服务器代理 将用作包含 Active Directory 服务器的公司内网与面向外部的 ADFS 服务器之间的中介。有关使用联合 帐户验证服务器代理的详细信息，请参阅 TechNet 网站上的“ADFS 设计和部署指南”。

（编辑：应用网_镇江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!