【发布时间】:2015-11-09 23:32:33
【问题描述】:
我有一个用户登录的客户端应用程序(Windows)。通过此应用程序,用户将希望使用单点登录 (SAML) 访问远程网站,并将通过 Microsoft WIF 进行身份验证。为此,用户将单击一个按钮,该按钮打开本地 Web 浏览器,生成 SAML 令牌(包含用户名和角色等)并向远程网站发送 HTTP POST 以访问它,并登录。
我希望用户根据来自 Windows 应用程序的凭据自动登录。
我大致知道如何生成 SAML 令牌,但假设这需要将签名证书安装在本地 PC 上,这需要安装到我公司的所有 PC 中。
安装此证书似乎不太正确。我还能如何安全地允许用户生成将被服务提供商接受的 SAML 令牌(通过单点登录)?
更新:
用户未使用 Windows 身份验证 (Kerberos) 对 Windows 应用程序进行身份验证,我们对用户名/密码数据库进行自定义 SQL 调用。
在 win 应用程序中,我们将知道用户名及其角色,因此可以从中生成声明,或将其传递给远程 STS 以生成和签署 SAML 令牌。但是再次将这些数据传递给 STS 似乎又完全错误了。
【问题讨论】:
标签: single-sign-on wif saml-2.0