Können NameIdentifier- und IdentityProvider (WIF)-Ansprüche verwendet werden, um jeden Benutzer eindeutig zu identifizieren?

Question

Ich überlege, Access Control Service (ACS) und Windows Identity Foundation (WIF) zu verwenden, um meine WCF Data Services Web-API-Anwendung abzusichern.

Wie kann ich Ansprüche verwenden, um einen Benutzer eindeutig zu identifizieren?

Meine Idee ist es, die Kombination des Standardanspruchs NameIdentifier und des WIF-Anspruchs IdentityProvider zu verwenden, um eine eindeutige ID für jeden Benutzer zu erstellen.

Ist diese Kombination wirklich stabil und einzigartig? Könnte ein IP-Adresse plötzlich seinen IdentityProvider-String ändern?

Die Idee hier ist, den konkatenierten String der beiden Teile als eindeutige ID für jeden Benutzer zu speichern.

Hat der NameIdentifier-Anspruch irgendwelche Sicherheitsimplikationen?

Prost,

M.

Answer 1

Dies scheint vernünftig zu sein. Beachten Sie, dass der nameidentifier IdP-spezifisch ist, was bedeutet, dass er vom Identitätsanbieter bereitgestellt wird, mit dem Sie sich authentifiziert haben (z.B. LiveID, Google usw.). ACS kopiert diesen Wert einfach in eine Behauptung. Überprüfen Sie bei jedem dieser Anbieter, welche Garantien sie bieten. Meine Annahme ist, dass sie sich nicht ändern sollten für einen "zurückkehrenden Benutzer" -> jemand, der über denselben Benutzernamen/Passwort verfügt.

Menschen verwenden oft auch E-Mail-Adressen. Wenn verfügbar, möchten Sie sie möglicherweise auch korrelieren als zusätzliche Maßnahme.

Answer 2

Justin Smith erwähnte dies in seinem MIX11 Vortrag (siehe Folie 22, 28 Minuten in den Vortrag) - es war mein Verständnis, dass ACS Ihnen den Namenidentifikator und den IdP-Namen gibt. Sie nehmen das Tupel zusammen und es sollte eine eindeutige ID sein.