Unterstützung sowohl bestehende Formularauthentifizierung Login und Federated WebSSO

Question

Wir haben eine Web-Anwendung gehostet und nutzt die Formularauthentifizierung. Diese Webapplikation wird von den Anwendern gehören in verschiedenen Partnerorganisationen abgerufen. Derzeit gehören Benutzer die Partnerorganisationen die Anwendung Zugriff auf die Anmeldeinformationen, dass wir es ihnen geben.

Nun werden einige Partnerorganisationen will, um ihre Benutzer die Anwendung mit ihrem Active Directory-Anmeldeinformationen zuzugreifen. Wir planen ADFS für diese Partnerorganisationen zu nutzen, so werden die Benutzer in ihrem Netzwerk und Ansprüche auf die Webapp über das Authentifizierungstoken Cookie-Gruppe durch die ADFS gesendet werden mithilfe von Active Directory authentifiziert werden. Aus den Ansprüchen, bilden wir die Benutzer den internen userIds der Webapplikation.

Meine Fragen sind, wenn wir die Web-Anwendung ADFS machen aktiviert ist, 1) Ist es möglich, noch zu erlauben, die anderen Partnerorganisation Benutzer (die nicht wollen, ADFS verwenden), um sich auf die Web-Anwendung unter Verwendung der bestehenden Login-Seite (Formularauthentifizierung)? 2) Sollte jeder Seite in den ADFS aktivierter Webapp über https zugegriffen werden?

Jede Lösungen oder Hinweise wäre sehr willkommen.

Danke -arul

Answer 1

Ihre App benötigt Ansprüche zu verlangen, die den Benutzer beschreiben, und zwar unabhängig davon, wo sie anmelden aus. Es sollte nicht Authentifizierung in jedem Fall behandeln; dies sollte ein STS an einen vertrauenswürdigen Emittenten delegiert werden. Dies ermöglicht es w / Benutzer in einer einheitlichen Art und Weise zu interagieren, und zwar unabhängig davon, wo und wie sie authentifizieren. Dies bedeutet, dass Sie in zwei Rollen zu verwenden müssen ADFS gehen: die einen Identity Provider (IP) STS und eine Föderation Provider (FP) STS. Für Benutzer von Partnerunternehmen, die sich nicht Benutzer halten wollen, müssen Sie die IP-STS sein; diejenigen, für die das tun, werden Sie ein FP-STS sein. Im letzteren Fall wird ADFS umleiten Benutzer von Ihrem Reich zurück auf die Website des Partners, wo ihre IP-STS werden sie sie zu Ihren FP-STS authentifizieren und senden. Es wird Ihr Partner Benutzer-ID und Ansprüche in formieren, den Sinn in Ihrem Bereich zu machen. Diese und weitere Informationen über den Benutzer werden in der Menge der Ansprüche enthalten sein, die von Ihrem FP-STS ausgegeben werden. Als Ergebnis der App, vertraut nur Ihre STS unabhängig davon, welches Szenario für verschiedene Benutzer geeignet ist. Beachten Sie, dass in diesem scenerio wird es zwei STSs sein: Ihre ADFS FP-STS und IP-STS Ihres Partners, der nicht ADFS sein kann oder nicht. Im anderen Fall wird es nur ein STS sein. Ihre IP-STS

Nicht jede Seite auf Ihrem ADFS-Web-App muss über HTTPS zugegriffen werden soll; aber jeder, dass bei der Authentifizierung verwendet werden sollte.

Das ist wirklich eine nicht-triviale Aufgabe. Wenn man darüber mehr reden wollen, wenden Sie sich bitte an nehmen Sie Kontakt w / me .