【发布时间】:2015-10-22 09:12:44
【问题描述】:
对于给定的用户,他是否需要来自 ADFS 的不同安全令牌才能访问不同的基于声明的应用程序?
也就是说,如果用户通过ADFS获取token T1对App1进行身份验证,App1可以冒充用户使用T1查询App2吗?
还是需要从 ADFS 重新生成 T2?
【问题讨论】:
【发布时间】:2015-10-22 09:12:44
【问题描述】:
ADFS 3.0(Server 2012 R2)?您已标记 ADFS 3.0 未使用的“iis”。
在被动情况下(浏览器) - 不。
两个应用程序的声明规则可能不同。令牌也有像“audience_uri”这样的字段,它不会匹配两个 RP。
你为什么要这个?
用户向 T1 进行身份验证 - 获得 T1 令牌。现在用户想要向 T2 进行身份验证。 ADFS 发现它们已经通过身份验证,因此可以无缝地颁发 T2 令牌,即它们不必再次进行身份验证。
如果您想要“user_impersonation”,您需要查看活动 (WCF) 或 Web API (OAuth)。
【讨论】:
-
IIS 是另一个帖子的标签,感谢您的发现。我现在已经删除了。是的,我的 App1 需要模拟来查询 App2。您能否分享更多关于活动 (WCF) 或 Web API (OAuth) 如何处理此问题的信息? App2 实际上是 Sharepoint Online,在外部 Web 中,因此它只能通过 ADFS 的安全令牌进行 SSO 身份验证。
-
我不明白你为什么要冒充?如果 SP 与 ADFS 正确联合,则对 T1 进行身份验证,当您导航到 T2 时,您将无缝登录到 SP。