【发布时间】:2018-07-01 15:35:22
【问题描述】:
我希望与 SSO IdP(身份提供者)集成,并试图了解 AD 是否可以充当该角色。 即,我在 AD 上设置用户,用户在网页上进行身份验证,该网页使用 AD 检查其密码的有效性,这会生成一个签名令牌,我可以使用它来登录我的应用程序。
谢谢!
【问题讨论】:
标签: active-directory single-sign-on
【发布时间】:2018-07-01 15:35:22
【问题描述】:
是的,AD 可以很容易地用作单点登录的身份提供者。
如果您要这样做,通过微软的 AD FS(Active Directory 联合服务) 实现 Web 单点登录 (SSO) 将是一个不错的选择。
我将引用MSDN Article on Active Directory Federation Services的概述:
概述
AD FS 是一种基于标准的服务,允许安全共享 受信任的业务伙伴之间的身份信息(称为 联邦)通过外联网。当用户需要访问 Web 时 来自其联合合作伙伴之一的应用程序,用户自己的 组织负责对用户进行身份验证并提供 以“声明”形式向托管合作伙伴提供身份信息 网络应用程序。托管合作伙伴使用其信任策略来映射 对其 Web 理解的声明的传入声明 应用程序,它使用声明来做出授权决定。
AD FS 是 Microsoft 对 WS-Federation Passive 的实现 Requestor Profile 协议(被动表示客户端 要求只是一个支持 cookie 和 JavaScript 的 Web 浏览器)。 AD FS 实现基于标准的 WS-Federation 协议和 安全断言标记语言 (SAML)。
... // 点击上面分享的链接了解更多信息。
【讨论】: