Prenant en charge les formes existantes connexion d'authentification et Federated WebSSO

Question

Nous avons une application web hébergée et utilise l'authentification des formulaires. Cette application Web est accessible par les utilisateurs appartiennent à différentes organisations partenaires. Actuellement, les utilisateurs appartiennent aux organisations partenaires ont accès à l'application en utilisant les pouvoirs que nous leur donnons.

Maintenant, certaines organisations partenaires veulent que leurs utilisateurs d'accéder à l'application en utilisant leurs informations d'identification Active Directory. Nous prévoyons d'utiliser ADFS pour ces organisations partenaires, afin que les utilisateurs seront authentifiés à l'aide d'Active Directory au sein de leur réseau et les demandes seront envoyées au webapp via le cookie d'authentification jeton défini par ADFS. Des revendications, nous dressons la carte des utilisateurs aux UserIds internes de l'application Web.

Mes questions sont, si nous faisons l'application Web ADFS activé, 1) Est-il possible de permettre encore les autres utilisateurs de l'organisation partenaire (qui ne veulent pas utiliser ADFS) pour se connecter à l'application Web en utilisant la page de connexion existante (formulaires d'authentification)? 2) chaque page ADFS activé webapp doit-elle être accessible via https?

Les solutions ou des pointeurs seraient appréciés.

Merci -arul

Answer 1

Votre application a besoin d'exiger les revendications qui décrivent l'utilisateur, quel que soit leur connexion à partir. Il ne doit pas gérer l'authentification dans les deux cas; cela devrait être déléguée à un émetteur de confiance, un STS. Cela permettra d'interagir avec / utilisateurs d'une manière uniforme, peu importe où et comment ils authentifient. Cela signifie que vous allez avoir besoin d'utiliser ADFS deux rôles: celui d'un fournisseur d'identité (IP) STS et d'un fournisseur Fédération (FP) STS. Pour les utilisateurs des entreprises partenaires qui ne veulent pas maintenir eux-mêmes les utilisateurs, vous serez le service IP-STS; pour ceux qui le font, vous serez un FP-STS. Dans ce dernier cas, ADFS rediriger les utilisateurs de votre domaine vers le site du partenaire où leur IP-STS les authentifier et de les envoyer à votre FP-STS. Il tracera l'ID utilisateur de votre partenaire et les revendications en ceux qui ont du sens dans votre royaume. Ceci et d'autres informations sur l'utilisateur sera inclus dans l'ensemble des revendications émises de votre FP-STS. Par conséquent, votre application, ne fait confiance à votre STS, quel que soit le scénario est approprié pour différents utilisateurs. Notez que dans ce scenerio, il y aura deux STSs: votre ADFS FP-STS et IP-STS de votre partenaire, qui peut ou non être ADFS. Dans l'autre cas, il ne sera qu'un STS:. Votre IP-STS

Non chaque page de votre application Web ADFS doit être accessible via HTTPS; Cependant, tout le monde qui est utilisé dans le processus d'authentification doit être.

Ceci est vraiment une entreprise non négligeable. Si vous voulez parler de plus, s'il vous plaît ne hésitez pas à entrer en contact w / me .