Sostenere sia esistenti login autenticazione basata su form e Federated WebSSO
https://stackoverflow.com/questions/1766066
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Stiamo avendo un'applicazione web ospitato e si utilizza l'autenticazione moduli. Questo webapplication si accede da utenti appartengono a organizzazioni partner diversi. Attualmente gli utenti appartengono alle organizzazioni partner accedono all'applicazione utilizzando le credenziali che diamo a loro.
Ora, alcune organizzazioni partner vuole che i propri utenti di accedere all'applicazione utilizzando le proprie credenziali di Active Directory. Stiamo progettando di utilizzare ADFS per queste organizzazioni partner, così gli utenti saranno autenticati utilizzando Active Directory all'interno della loro rete e reclami saranno inviati alla webapp tramite il cookie di autenticazione del token impostato dal ADFS. Dalle rivendicazioni, mappiamo gli utenti al userids interni dell'applicazione web.
Le mie domande sono, se facciamo l'applicazione Web ADFS attivato, 1) E 'possibile consentire ancora gli altri utenti dell'organizzazione socio (che non vogliono utilizzare ADFS) per accedere all'applicazione Web utilizzando la pagina di login esistente (autenticazione basata su form)? 2) Nel caso in ogni pagina del ADFS webapp abilitato può accedere attraverso https?
Tutte le soluzioni o puntatori sarebbe molto apprezzato.
Grazie -arul
Soluzione
La vostra applicazione ha bisogno di richiedere affermazioni che descrivono l'utente, indipendentemente da dove essi fare login. Non dovrebbe gestire l'autenticazione in entrambi i casi; questo dovrebbe essere delegato ad un emittente di fiducia, uno STS. Questo permetterà di interagire w / utenti in modo uniforme indipendentemente dal luogo e il modo in cui l'autenticazione. Ciò significa che si sta andando ad avere bisogno di utilizzare ADFS in due ruoli: quello di un provider di identità STS (IP) e di una Federazione Provider STS (FP). Per gli utenti delle aziende partner che non vogliono mantenere gli utenti stessi, sarete i IP-STS; per quelli che lo fanno, sarai un FP-STS. In quest'ultimo caso, ADFS reindirizzerà gli utenti dal vostro reame di nuovo al sito del partner dove loro IP-STS li autenticare e li invia al tuo FP-STS. Sarà mappare l'ID utente e reclami del vostro partner in quelli che hanno senso nel vostro regno. Questa e altre informazioni sull'utente verrà incluso nella serie di rivendicazioni che vengono emessi dai vostri FP-STS. Di conseguenza, la vostra applicazione, si fida solo i tuoi STS a prescindere da quale scenario è adatto per diversi utenti. Si noti che in questo scenerio, ci saranno due STS: il tuo ADFS FP-STS e del vostro partner IP-STS, che può o non può essere ADFS. Nell'altro caso, non ci sarà un solo STS:. Vostro IP-STS
Non ogni pagina del tuo Web ADFS applicazione ha bisogno di accedere tramite HTTPS; Tuttavia, tutti che viene utilizzato nel processo di autenticazione dovrebbe essere.
Questa è davvero un'impresa non banale. Se si vuole parlare di più, non esitate a entrare in contatto w / me .
