Что такое windows identity foundation

Windows® Identity Foundation (WIF) — это платформа для построения приложений, поддерживающих удостоверения. Платформа поддерживает на уровне абстракций протоколы WS-Trust и WS-Federation и предоставляет разработчикам программные интерфейсы (API) для построения служб маркеров безопасности (STS) и приложений, поддерживающих утверждения. Приложения могут использовать WIF для обработки маркеров, выданных службами STS, и принятия решений на основе удостоверений на уровне веб-приложения или веб-службы.

Ниже перечислены основные возможности WIF.

Создание приложений, поддерживающих утверждения (приложений проверяющей стороны). WIF помогает разработчикам создавать приложения, поддерживающие утверждения. Помимо новой модели утверждений эта платформа предлагает разработчикам богатый набор программных интерфейсов, позволяющих принимать решения по доступу пользователей на основании утверждений. WIF также предлагает разработчикам единый интерфейс программирования, если они создают свои приложения в средах ASP.NET или WCF. Дополнительные сведения см. в разделе Потребление утверждений — приложения проверяющей стороны.

Шаблоны Visual Studio WIF предлагает встроенные шаблоны Visual Studio для поддерживающих утверждения приложений веб-сайтов ASP.NET и веб-служб WCF и сокращает время на знакомство с моделью программирования на основе утверждений. Дополнительные сведения см. в разделе Шаблоны Visual Studio.

Установление отношений доверия между приложением, поддерживающим утверждения, и службой STS WIF предлагает служебную программу под названием FedUtil, которая позволяет легко устанавливать отношения доверия между приложениями, поддерживающими утверждения, и службой STS, например между службами федерации Active Directory2.0 и службой STS LiveID. FedUtil поддерживает приложения ASP.NET и WCF. Также эта программа интегрирована с Visual Studio, поэтому ее можно вызывать из обозревателя решений, щелкнув правой кнопкой проект и затем выбрав пункт «Добавить ссылку на службу STS», или из меню «Сервис» в Visual Studio. Дополнительные сведения см. в разделе FedUtil — служебная программа федерации для установления отношения доверия между проверяющей стороной и службой STS.

Элементы управления ASP.NET. Элементы управления ASP.NET упрощают разработку страниц ASP.NET для построения веб-приложений, поддерживающих утверждения. Дополнительные сведения см. в разделе Установление отношения доверия между приложением проверяющей стороны ASP.NET и службой STS с помощью элемента управления FederatedPassiveSignIn.

Преобразование утверждений в маркеры NT. WIF включает службу Windows под названием Служба c2WTS (Claims to Windows Token Service), которая выступает в роли посредника между поддерживающими утверждения приложениями и приложениями на основе маркеров NT. Она предоставляет разработчикам простой способ преобразования утверждений в удостоверение на основе маркера NT и позволяет регулировать доступ к ресурсам, которые запрашивают удостоверение на основе маркера NT у приложения, поддерживающего утверждения. Дополнительные сведения см. в разделе Общие сведения о службе c2WTS (Claims to Windows Token Service).

Добавление поддержки делегирования удостоверений в приложения, поддерживающие утверждения WIF предоставляет возможность поддерживать удостоверения исходных запрашивающих сторон в пределах нескольких служб. Эта возможность достигается за счет использования либо функции «ActAs», либо «OnBehalfOf» данной платформы и позволяет разработчикам добавлять поддержку делегирования удостоверений в приложения, поддерживающие удостоверения. Дополнительные сведения см. в разделах Интеграция с IIdentity и IPrincipal и Сценарий делегирования удостоверения.

Создание пользовательских служб маркеров безопасности (STS). WIF значительно облегчает создание пользовательской службы STS, которая поддерживает протокол WS-Trust. Такая служба также называется «активной службой STS».

Кроме того, платформа также обеспечивает возможности для создания служб STS, которые поддерживают протокол WS-Federation для включения клиентов веб-браузеров. Такие службы также называются «пассивными службами STS».

Платформа включает встроенные шаблоны Visual Studio для создания служб STS ASP.NET и WCF. Эти шаблоны позволяют создавать простые службы STS, а разработчики могут расширять их и реализовывать производственные службы, соответствующие их потребностям. Дополнительные сведения см. в разделах Инструкции: создание службы STS ASP.NET и Инструкции: создание службы STS WCF.

WIF поддерживает следующие основные сценарии.

Федерация. WIF позволяет создать федерацию между двумя или более партнерами. Поддержка построения приложений, поддерживающих утверждения (проверяющей стороны), и служб STS помогает реализовывать такие сценарии. Дополнительные сведения см. в разделе Сценарий федерации.

Делегирование удостоверений. WIF позволяет поддерживать удостоверения сразу для нескольких служб, поэтому разработчики могут реализовать сценарий делегирования удостоверений. Дополнительные сведения см. в разделе Сценарий делегирования удостоверения.

Многоэтапная проверка подлинности. Требования к проверке подлинности для доступа к различным ресурсам в рамках одного приложения могут различаться. WIF предоставляет разработчикам возможность создания приложений, которые могут предъявлять возрастающие требования к проверке подлинности (например, начальный вход с проверкой подлинности с помощью имени пользователя и пароля, после чего используется проверка подлинности на основе смарт-карты). Дополнительные сведения см. в разделе Сценарий многоэтапной проверки подлинности.

WIF упрощает использование преимуществ модели удостоверений на основе утверждений, описанной в этой теме. В этой теме приводится обзор новых возможностей, предлагаемых в Windows® Identity Foundation (WIF) для обработки утверждений. Дополнительные сведения см. в Техническом документе по Windows Identity Foundation для разработчиков.

Доступ к утверждениям через Thread.CurrentPrincipal

Для доступа к набору утверждений текущего пользователя в приложении проверяющей стороны используйте Thread.CurrentPrincipal .

В следующем примере кода показано использование этого метода для получения интерфейса IClaimsIdentity:

Копировать код

Тип утверждения роли

Частью настройки приложения проверяющей стороны является определение типа утверждения роли. Этот тип утверждения используется методом IsInRole. Тип утверждения по умолчанию — http://schemas.microsoft.com/ws/2008/06/identity/claims/role .

Утверждения, извлеченные компонентом Windows Identity Foundation из маркеров различных типов

WIF поддерживает ряд сочетаний готовых механизмов проверки подлинности. В следующей таблице приводится список утверждений, которые WIF извлекает из маркеров различных типов.

Сопоставление с маркером доступа Windows

Все утверждения из GetOutputClaimsIdentity

Утверждение http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey , которое содержит сериализованный XML-код ключа подтверждения, если маркер содержит маркер проверки.

Утверждение http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername из элемента Issuer.

Утверждения AuthenticationMethod и AuthenticationInstant, если маркер содержит инструкцию проверки подлинности.

В дополнение к утверждениям в разделе «SAML 1.1», кроме утверждений типа http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name , будут добавлены утверждения, связанные с проверкой подлинности Windows, и удостоверение будет представлено в WindowsClaimsIdentity.

См. «SAML 1.1, сопоставление с учетной записью Windows».

Утверждения с различающимся именем X500, свойства emailName, dnsName, SimpleName, UpnName, UrlName, thumbprint, RsaKey (может извлекаться с помощью метода RSACryptoServiceProvider.ExportParameters из свойства X509Certificate2.PublicKey.Key), DsaKey (может извлекаться с помощью метода DSACryptoServiceProvider.ExportParameters из свойства X509Certificate2.PublicKey.Key), SerialNumber из сертификата X509.

Утверждение AuthenticationMethod со значением http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 . Утверждение AuthenticationInstant со значением, равным времени проверки сертификата в формате XmlSchema DateTime.

Использует полное доменное имя учетной записи Windows в качестве значения утверждения http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name . .

Утверждения из сертификата X509, не сопоставленные с Windows, и утверждения из учетной записи Windows, полученные путем сопоставления сертификата с Windows.

Утверждения сходны с утверждениями из раздела проверки подлинности Windows.

Утверждение AuthenticationMethod со значением http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password . Утверждение AuthenticationInstant со значением, равным времени проверки пароля в формате XmlSchema DateTime.

Windows (Kerberos или NTLM)

Утверждения, созданные из маркера доступа, такие как PrimarySID, DenyOnlyPrimarySID, PrimaryGroupSID, DenyOnlyPrimaryGroupSID, GroupSID, DenyOnlySID и Name.

AuthenticationMethod со значением http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/ и название поставщика системы безопасности, проводящего проверку подлинности, в нижнем регистре (например, Kerberos, NTML, Negotiate и т. д.). Утверждение AuthenticationInstant со значением, равным времени создания маркера доступа Windows в формате XmlSchema DateTime.

Пара ключей RSA

Утверждение http://schemas.xmlsoap.org/ws/2005/05/identity/claims/rsa со значением RSAKeyValue.

Утверждение AuthenticationMethod со значением http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/signature . Утверждение AuthenticationInstant со значением, равным времени проверки подлинности ключа RSA (то есть времени проверки подписи) в формате XMLSchema DateTime.

Тип проверки подлинности

Коды URI, выпущенные в утверждении «AuthenticationMethod»

Описание Windows Identity Foundation

В этой статье содержится информация о Windows Identity Foundation.

Исходная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 974405

Общие сведения

Windows Identity Foundation (WIF) — это новое расширение Microsoft .NET Framework, которое позволяет разработчикам легко включить расширенные возможности удостоверений в приложениях .NET Framework. В зависимости от взаимодействия, стандартных протоколов, Windows Identity Foundation и модели удостоверений на основе утверждений можно использовать для поддержки единого входов,персонализации, федерации, сильной проверки подлинности, делегирования удостоверений и других возможностей удостоверений в приложениях Windows Communication Foundation (WCF), которые работают локально или в ASP.NET облаке.

Требования к системе

Windows Identity Foundation требует установки одной из следующих операционных систем:

• Windows 7 (32-разрядная или 64-разрядная версия)
• Windows Server 2008 R2 (64-битная)
• Windows Server 2008 вместе с Пакет обновления 2 (32- или 64-битная)
• Windows Vista вместе с Пакет обновления 2 (32- или 64-битная)
• Windows Server 2003 вместе с Пакет обновления 2 (32- или 64-битная)
• Windows Server 2003 R2 (32- или 64-битная)

Для установки Windows Identity Foundation необходимо следующее:

• Microsoft .NET Framework 3.5 вместе с Пакет обновления 1

Поддерживаемые языки

Windows Identity Foundation поддерживается на следующих языках:

• Английский
• Голландский
• французский;
• немецкий;
• итальянский;
• японский;
• Испанский

Сведения о загрузке

Следующие файлы можно скачать в Центре загрузки Майкрософт.

Название пакета	Поддерживаемая операционная система	Платформа	Размер файла скачивания
Windows6.1-KB974405-x64.msu	Windows 7 и Windows Server 2008 R2	x64	965 КБ
Windows6.1-KB974405-x86.msu	Windows 7	x86	858 КБ
Windows6.0-KB974405-x64.msu	Windows Vista SP2 и Windows Server 2008 SP2	x64	969 КБ
Windows6.0-KB974405-x86.msu	Windows Vista SP2 и Windows Server 2008 SP2	x86	861 КБ
Windows5.2-KB974405-x64.exe	Windows Server 2003 SP2	x64	1,2 МБ
Windows5.2-KB974405-x86.exe	Windows Server 2003 SP2	x86	1,2 МБ

Для получения дополнительных сведений о загрузке файлов службы поддержки Майкрософт щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
119591 Как получить файлы поддержки Майкрософт из веб-служб

Корпорация Майкрософт проверила этот файл на вирусы. Корпорация Майкрософт использовала самое текущее антивирусное программное обеспечение, которое было доступно в день публикации файла. Файл хранится на серверах с расширенными службами безопасности, которые помогают предотвратить любые несанкционированные изменения файла.

Дополнительные сведения

Дополнительные сведения о технических сведениях и технических документах можно найти на следующих веб-сайтах Майкрософт:
Центр реагирования на угрозы безопасности (Майкрософт)

Сведения об обновлении операционной системы Windows

Если windows Identity Foundation установлен в Windows Server 2008 или Windows Server 2003, Windows Identity Foundation будет автоматически установлен при обновлении операционной системы Windows до Windows Server 2008 R2. Необходимо установить пакет установки Windows Identity Foundation для Windows Server 2008 R2 после обновления операционной системы Windows.

Если в Windows Server 2003 установлен Windows Identity Foundation, Windows Identity Foundation останется в обновленной операционной системе при обновлении операционной системы Windows до Windows Server 2008. Перед обновлением операционной системы Windows рекомендуется удалить Windows Identity Foundation, а затем переустановить Windows Identity Foundation для Windows Server 2008. Чтобы автоматически удалить Windows Identity Foundation в Windows Server 2003, можно использовать следующую %windir%\\$NtUninstallKB974405$\\spuninst\\spuninst.exe /quiet команду:

Если при запуске этой команды возникает ошибка, рекомендуется удалить Windows Identity Foundation с помощью программ и компонентов на панели управления.

Технические изменения

В следующей таблице перечислены значительные технические изменения в этой статье.

Читайте также:  Windows 10 не работают приложения метро