【问题标题】:Can we implement SSO federation in ADFS using multiple relying parties?我们可以使用多个依赖方在 ADFS 中实施 SSO 联合吗?
【发布时间】:2015-08-05 09:44:20
【问题描述】:

我有一个设置,其中 ADFS 有多个服务提供商 (SP),ADFS 充当身份提供商,使用 Active Directory 作为名称 ID 存储。

现在需要的场景是用户遵循以下步骤: 步骤1:用户尝试访问应用程序1,并被SP1重定向到身份提供者进行身份验证。 第 2 步:身份验证后,用户将与 SAML 响应一起重定向回应用程序。 步骤 3:现在用户想要访问应用程序 2,SP2 将用户重定向到 Idp,但她不想被 IDP 重新认证。我们想设置单点登录,这样用户就不必多次登录。

我们有什么方法可以配置 ADFS 以便在 SP 之间建立信任并且不需要身份验证? 也许有一些配置可以通知 ADFS,以便不再要求凭据?

我将 Windows Server R12 上的 ADFS2.1 作为 IDP,并将 Oracle weblogic 服务器用作服务提供商。我的应用程序部署在这些 weblogic 服务器上。

【问题讨论】:

    标签: single-sign-on saml-2.0 weblogic12c adfs2.0 adfs2.1


    【解决方案1】:

    我没有使用 Oracle Weblogic 作为 SP 的经验,我的经验是 .NET 和 Windows 识别框架。但是,如果您在 ADFS 中为每个 SP 设置了依赖部分信任 (RPT),则在您使用 ADFS for SP1 进行身份验证后,当您尝试访问 SP2 时,如果 SP 将您重定向到 ADFS 再次进行身份验证,ADFS 应该识别您已经通过身份验证(由于 cookie 访问令牌)并向您发出特定于 SP2 的 SAML 响应,而无需进行额外的身份验证。在 ADFS 3.0 (Windows Server 2012 R2) 中,多因素身份验证可能发挥作用,因此如果不涉及 MFA,这将成立。

    您目前是否在通过 SP1 的身份验证后遇到 SP2 的第二次登录提示?

    【讨论】:

    • 正确 - 多个依赖方信任将是可行的方法 - 否则您需要在应用程序之间共享身份验证信息(我不确定您是否能够这样做)。
    【解决方案2】:

    我发现,当我启用其他 IDP 时,所有重新身份验证都会再次强制选择 IDP,从而失去正常的 SSO 体验。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-06-12
      相关资源
      最近更新 更多