RSS DEV 社区
关注
离开自托管的 Duende:哪些内容会迁移,哪些内容将不再由您运营
Duende IdentityServer 是 .NET 中用于掌控身份层的强大解决方案,但伴随着显著的运维负担。自托管需要管理身份提供商(IdP)本身,包括打补丁、扩展和许可,同时还需构建所有周边功能,如管理界面、多因素认证(MFA)和审计日志。许多团队最终决定将这一运维负担转移出去,因此迁移成为关键考量。好消息是,从 Duende 迁移在很大程度上是机械化的,因为其配置存储在 SQL 中,用户数据则位于 ASP.NET Identity 中。
客户端、作用域和用户能够平滑迁移。关键的是,ASP.NET Identity V3 的密码哈希被原生支持,无需重置用户密码,这消除了其他 IdP 迁移中常见的痛点。角色、分配、外部登录和 OIDC 身份提供商也可直接转移,尽管 SAML 提供商需要重新配置。维护身份稳定性至关重要,因此迁移过程保留用户的"sub"和"client_id",以避免破坏下游依赖。
迁移工具已在真实的、已填充的 Duende 数据库上经过严格测试,以捕捉细微问题,例如处理被锁定用户的 datetimeoffset,否则会导致导入失败。迁移的主要好处是停止运营 IdP,转而利用内置的 SAML、SCIM、M
