Puis-je avoir un site personnalisé agir comme un PDI à l'aide d'ADFS
https://stackoverflow.com/questions/4995295
-
14-11-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je développe une application de style portail (en utilisant ASP.NET/MVC) qui aura des liens vers d'autres applications. Je pense utiliser des ADF et une annonce de soutien pour l'authentification. Je souhaite activer une seule connexion pour le portail et ces applications individuelles. Ces applications individuelles (certains et Java et une dans Ruby) feront confiance aux ADF et pourront recevoir des jetons SAML pour l'authentification.
Les utilisateurs devraient se connecter à cette application de portail, les liens vers les autres applications du portail fonctionneraient de manière transparente car l'utilisateur s'est déjà connecté au portail. En substance, mon portail est le fournisseur d'identité. Ce scénario est-il possible avec les ADF?
La solution
Oui, c'est possible. Cependant, la terminologie de votre question n'est pas complètement correcte: votre application de portail ne sera pas le fournisseur d'identité, mais AD FS.
Ce qui se passerait est ce qui suit:
- L'utilisateur navigue sur l'application de portail.
- L'application du portail redirige vers l'annonce.
- L'utilisateur s'authentifie en AD FS, soit silencieusement ou de manière interactive, en utilisant des formulaires ou NTLM ou autre chose, contre AD. AD FS est l'IP / STS, c'est-à-dire le fournisseur d'identité. Cette action est la seule connexion. En réponse, AD FS renvoie un «cookie AD FS» au navigateur.
- AD FS redirige également vers l'application du portail avec un jeton de sécurité.
- L'application de portail envoie sa page d'accueil au navigateur, ainsi qu'un «cookie de portail». Dans le cadre de cette page d'accueil, il envoie la «page d'accueil» de l'application X au navigateur.
Maintenant, l'histoire se répète principalement, point pour le point:
- Le navigateur récupère la page d'accueil de l'application x.
- Application X Redirection vers AD FS.
- Le navigateur envoie le «Cookie AD FS» à AD FS, ce qui prouve l'identité de l'utilisateur à AD FS. Aucune connexion ne se produit à ce stade.
- AD FS redirige vers l'application X avec un nouveau jeton de sécurité.
- L'application X envoie sa «page d'accueil» au navigateur, avec un «cookie App x».
Lorsqu'une visite de retour est effectuée sur l'application du portail ou sur l'application X, le navigateur envoie le «portail cookie» ou le «cookie App x». L'application reconnaît le cookie et ne redirige plus le navigateur vers l'annonce. Ainsi, les conversations avec AD FS ne se produisent que sur le démarrage de l'application, une pour chaque application.
