Apoiando ambas as formas existentes de autenticação de login Federado e WebSSO
-
21-09-2019 - |
Pergunta
Estamos tendo uma hospedado aplicativo web que usa a autenticação de formulários.Este webapplication é acessado por usuários pertencem a diferentes organizações parceiras.Atualmente os usuários pertencem a organizações parceiras estão acessando o aplicativo usando as credenciais que nós damos a eles.
Agora, algumas organizações de parceiros e quer que seus usuários acessem o aplicativo usando suas credenciais do active directory.Estamos planejando usar o ADFS para estas organizações parceiras, de modo que os usuários serão autenticados usando o Active Directory dentro de sua rede e de declarações será enviada para o webapp através do token de Autenticação de cookie definido por ADFS.A partir de reivindicações, nós mapear os usuários internos userIds do aplicativo web.
Minhas perguntas são , se fazemos o aplicativo da web com ADFS habilitado, 1)É possível ainda permitir que o outro parceiro da organização(usuários que não querem usar o ADFS) para acessar o aplicativo web usando a mesma página de login(autenticação de formulários)?2) Deve cada página no ADFS habilitado webapp ser acedido através de https?
Quaisquer soluções ou ponteiros seria muito apreciada.
Obrigado -arul
Solução
Seu aplicativo precisa exigir declarações que descrevem o usuário, independentemente de onde eles login.Ele não deve lidar com a autenticação em ambos os casos;este deve ser delegada a um emissor confiável, um STS.Isto irá permitir-lo para interagir w/ usuários, de uma maneira uniforme, independentemente de onde e como eles se autenticar.Isso significa que você vai precisar para usar o ADFS em duas funções:que de um Provedor de Identidade (IP) ms / PTS e, de um Provedor de Federação (FP) ms / PTS.Para os usuários de empresas parceiras, o que não quer manter o blog em si, você vai ser o IP-STS;para aqueles que não, você vai ser um FP-ms / PTS.Neste último caso, o ADFS redirecionar os usuários de seu reino de volta para o site do parceiro onde seus IP-STS irá autenticar-los e enviá-los para o seu FP-ms / PTS.Ele vai mapa de seu parceiro ID de usuário e reivindicações para aqueles que fazem sentido no seu reino.Esta e outras informações sobre o usuário será incluído no conjunto de declarações que são emitidos a partir de seu FP-ms / PTS.Como resultado, o seu aplicativo, só confia em seu STS independentemente de qual cenário é apropriado para usuários diferentes.Observe que, neste cenário, haverá dois STSs:o ADFS FP-ms / PTS e seu parceiro IP-STS, que pode ou não ser ADFS.No outro caso, haverá apenas um STS:o seu IP-STS.
Não cada página do seu ADFS aplicativo Web precisa para ser acessado via HTTPS;no entanto, todo mundo que é utilizado no processo de autenticação deve ser.
Este é realmente um não-trivial empresa.Se você quiser falar mais a respeito, por favor, sinta-se livre para entrar em contato p/ mim.