WIF基本原理（5）WIF的功能簡介

WIF（Windows Identity Foundation）是用於構建標識應用程式的架構。該架構將 WS-Trust 和 WS-Federation 協議抽象化，並向開發人員呈現用於構建Security Token Service和聲明感知應用程式的 API。應用程式可以使用 WIF 處理Security Token Service頒發的令牌，並在 Web 應用程式或 Web 服務中，根據標識做出決策。

WIF具有以下主要功能：

1)        構建聲明感知應用程式（信賴憑證者應用程式程式）。

WIF可協助開發人員構建聲明感知應用程式。 除了提供新的聲明模型，它還為應用程式開發人員提供了一組豐富的 API，協助他們根據聲明做出使用者訪問決策。無論開發人員選擇在 ASP.NET 還是 WCF環境下構建應用程式，WIF都為他們提供一致的編程體驗。

2)        Visual Studio模板。

WIF提供了適用於聲明感知 ASP.NET 網站和 WCF Web 服務應用程式的內建 Visual Studio 模板，可縮短熟悉基於聲明的編程模型的學習時間。

3)        在聲明感知應用程式和 STS之間輕鬆建立信任。

WIF提供了一個名為 FedUtil 的工具 + 生產力，允許在聲明感知應用程式和 STS（如 ADFS 2.0 和 LiveID STS）之間輕鬆建立信任。FedUtil支援ASP.NET 和 WCF 應用程式。它還與Visual Studio 整合，這樣在方案總管中按右鍵項目，然後選擇“添加STS引用”功能表項目即可調用，或者在 Visual Studio 中通過“工具”菜單調用。

4)        ASP.NET 控制項。

ASP.NET 控制項可簡化ASP.NET頁面的開發，該頁面用於構建聲明感知 Web應用程式。

5)        聲明和 NT 令牌之間的轉換。

WIF包括一個Windows服務，該服務可作為聲明感知應用程式和基於NT令牌的應用程式之間的橋樑。 它為開發人員提供了將聲明轉換為NT令牌標識的簡單方法，得以從聲明感知應用程式訪問需要基於 NT 令牌的標識的資源。

6)        在聲明感知應用程式中構建標識委派支援。

WIF提供了跨多個服務邊界保持原始要求者標識的功能。在架構中使用“ActAs”或“OnBehalfOf”函數可實現此功能，開發人員可利用此功能在聲明感知應用程式中添加標識委派支援。

7)        構建自訂Security Token Service (STS)。

WIF使得構建支援 WS-Trust 協議的自訂Security Token Service (STS) 變得極其容易。此類STS也被稱為主動 STS。

此外，該架構還為構建另一類 STS 提供支援，該STS支援 WS-Federation 以啟用 網頁瀏覽器用戶端。此類STS也被稱為被動STS。

WIF主要支援以下方案：

方案1      識別身分同盟。

WIF可在兩個或多個夥伴間構建識別身分同盟。 它對構建聲明感知應用程式 (RP) 和自訂Security Token Service (STS) 的支援可協助開發人員實現此身分識別驗證方案。

方案2      標識委派。

通過WIF可輕鬆跨服務邊界維護標識，以便開發人員可實現標識委派身分識別驗證方案。

方案3      升級身分識別驗證。

應用程式內不同資源的身分識別驗證要求可能各不相同。 使用 WIF，開發人員可以構建可能需要增量身分識別驗證要求的應用程式，例如：初始登入時使用使用者名稱/密碼身分識別驗證，然後升級至智慧卡身分識別驗證。

通過使用 WIF，可以更輕鬆地從本主題所述的宣告式身分識別模型中獲益。

WIF令牌類型包括：SAML 1.1、SAML 2.0、X.509、UPN、Windows（Kerberos或 NTLM）、RSA金鑰組。

WIF身分識別驗證類型包括：密碼、Kerberos、SecureRemotePassword、TLSClient、X.509、PGP、Spki、XmlDSig、未指定。

------------------------註：本文部分內容改編自《.NET 安全揭秘》

作者：玄魂

出處：http://www.cnblogs.com/xuanhun/

查看本欄目更多精彩內容：http://www.bianceng.cnhttp://www.bianceng.cn/Programming/net/