Windows Identity Foundation (WIF)

Eintrag zuletzt aktualisiert am: 10.11.2009

Windows Identity Foundation (WIF) ist ein .NET-basierte Entwicklerbibliothek für domänen-übergreifende Authentifizierung und Rechtevergabe (Single-Sign-On).
Codename: Geneva

Umfasst: Klassen zur Annahme von Token/Claims, Projektvorlagen für VS, ein STS zum Entwickeln und Testen, Klassen für Erstellen eines eigenen STS

Verwandte Produkte: Active Directory Federation Services ("Geneva Server"), ein Security Token Service (STS) sowie Windows Cardspace, ein Identity Selector.

Wichtigster Softwarearchitekt: Kim Cameron, http://www.identityblog.com/

AD FS 1.1 unterstützte nur passive Clients (Browser) mit WS-Federation
AD FS 2.0 auch aktive Clients (z.B. WCF), eigenes STS, WS-Federation und SAML 2.0, Trust Relation Management

Vorgehensweise:

Client fragt Anwendung, was für ein Token von welchem Provider sie wünscht.
Optional: Benutzer des Clients wählt die Identität, die von der Anwendung benötigt wird (Identity Selector)
Client authentifiziert gegenüber einem Identity Provider mit einem Security Token Service (STS), z.B. Active Directory Domain Services oder Windows Live ID
Identity Provider stellt Token (SAML-Format) aus und legt die erwarteten Claims in das Token.
Client präsentiert der Anwendung das Token mit den Claims.
Anwendung muss dem Identity Provider trauen (List of trusted STS)

Die Anwendung verwendet WIF als "Identity Library" zur Realisierung der Aufgaben.

Im Fall von "Identity Federation" kann ein Token eines STS auch einem anderen STS präsentiert werden.

Beispiele für Claims:
  • Name
  • Gruppenmitgliedschaften
  • Adressen
  • Einkaufslimits
  • Rechte (Access/Deny)