我面临的设计问题是,我们有多个 Web 应用程序,例如 webapp1、webapp2、webapp3,并且不想创建一个使用专用依赖方来验证专用应用程序的专用服务提供商,而不是想要创建一个公共服务提供者(在 ADFS 中创建为依赖方),所有不同的 Web 应用程序都将联系到该服务提供者以获取用户身份验证,并作为回报获取声明/令牌。 通过这样的设计,我将摆脱为每个 Web 应用程序创建多个 SP(或依赖方),说将有一个 Web api 源进行身份验证。
但是这样做我不确定这是否是正确的方法,到目前为止我知道的是,单一应用程序与它的专用服务提供商进行对话,该服务提供商与专门的依赖方对话。 我使用 SAML 作为身份验证语言。
【问题讨论】:
标签: saml-2.0 adfs service-provider
• 您不能为多个 SaaS 应用程序创建公共(单一)依赖方信任,因为每个 SaaS 应用程序/平台都与 ADFS 联合,以便使用 Active Directory 属性向该 SaaS 平台提供单点登录身份验证从某种意义上说,每个 SaaS 应用程序都有一个不同(唯一)的域名,一个由 IANA 在公共和全球 DNS 注册中心分配的不同(唯一)公共 IP 地址。
• 因此,由于每个 SaaS 应用程序/平台都是唯一的,因此它们包含联合配置信息的联合元数据 URL 是不同且唯一的,因为每个 SaaS 应用程序都是在特定业务和所需平台构建上为不同目的托管和构建的。因此,本地 Active Directory 和 Service Provider 之间形成的依赖方信任,即 SaaS 应用通过 ADFS 是平台之间的一对一信任连接,让 Active Directory 授权的身份能够登录到SaaS 平台。
• 此外,针对从 Active Directory 请求的用于身份验证的属性生成的声明将是唯一的,并且根据创建的依赖方信任和用于该目的的加密协议,对于每个 SaaS 应用程序都是不同的。
请找到以下文档链接以获取更多信息:-
https://docs.microsoft.com/en-us/azure/architecture/multitenant-identity/adfs
【讨论】: