Можем ли мы реализовать федерацию единого входа в ADFS, используя несколько проверяющих сторон?

Question

Можем ли мы реализовать федерацию единого входа в ADFS, используя несколько проверяющих сторон?

У меня есть установка, в которой ADFS имеет несколько поставщиков услуг (SP), а ADFS выступает в качестве поставщика удостоверений, используя Active Directory в качестве хранилища идентификаторов имен.

Теперь требуется сценарий, который заключается в том, что пользователь выполняет следующие шаги: Шаг 1: Пользователь пытается получить доступ к Приложению 1 и перенаправляется в Identity Provider с помощью SP1 для аутентификации. Шаг 2. После аутентификации пользователь перенаправляется обратно в приложение вместе с ответом SAML. Шаг 3: Теперь пользователь хочет получить доступ к приложению 2, а SP2 перенаправляет пользователя на Idp, но он не хочет проходить повторную аутентификацию в IDP. Мы хотим настроить единый вход, чтобы пользователю не приходилось входить несколько раз.

Можно ли каким-то образом настроить ADFS таким образом, чтобы создать доверие между SP, и нет необходимости в аутентификации? Возможно, есть какая-то конфигурация для информирования ADFS, чтобы больше не запрашивать учетные данные?

У меня ADFS2.1 на Windows Server R12 в качестве моего IDP, и у меня есть серверы Oracle weblogic, которые используются в качестве поставщиков услуг. Мои приложения размещены на этих серверах.

0

single-sign-on saml-2.0 weblogic12c adfs2.0 adfs2.1

Источник

user1004779 05 авг '15 в 09:44

2 ответа

Другие вопросы по тегам single-sign-on saml-2.0 weblogic12c adfs2.0 adfs2.1

user2026329 05 авг '15 в 13:59 2015-08-05 13:59 · Answer 1 · 2015-08-05 13:59

У меня нет опыта использования Oracle Weblogic в качестве SP, мой опыт работы с.NET и Windows Identify Framework. Но, если вы настроили доверие доверяющих частей (RPT) в ADFS для каждого SP, после аутентификации с помощью ADFS для SP1, при попытке доступа к SP2, если SP перенаправляет вас в ADFS для повторной аутентификации, ADFS следует определить, что вы уже прошли проверку подлинности (из-за маркера доступа), и выдать вам ответ SAML, относящийся к SP2, без дополнительной проверки подлинности. В ADFS 3.0 (Windows Server 2012 R2) может быть задействована многофакторная аутентификация, поэтому это будет справедливо, если MFA не задействован.

Испытываете ли вы в настоящее время второй запрос входа в систему для SP2 после аутентификации в SP1?

user358580 03 окт '16 в 11:53 2016-10-03 11:53 · Answer 2 · 2016-10-03 11:53

Я обнаружил, что когда я включаю дополнительный IDP, все повторные проверки подлинности снова заставляют выбор IDP, теряя нормальный опыт SSO.

0

Источник

user358580 03 окт '16 в 11:53