【问题标题】:Updating claims with ADFS and WIF使用 ADFS 和 WIF 更新声明
【发布时间】:2012-03-13 18:06:53
【问题描述】:

想象以下场景。

用户访问站点 A (ASP.NET),使用 ADFS 进行身份验证并获得一组声明。在某些时候,他们需要注册附加服务,以便将他们重定向到配置站点 B (ASP.NET)(也使用 ADFS - 所以 SSO),在那里他们通过输入相关详细信息进行注册并被重定向回 A。

但是,配置过程的一部分向存储库(通常是 AD)添加了属性,我们希望这些属性构成其声明集的一部分。

为此他们已经重新验证?通过强制联合注销是最好的方法吗?这将由站点 A 或站点 B 完成吗?

如果他们是使用 WIA 的内部用户,他们将在“幕后”登录,整个过程将是透明的。

如果他们是使用 FBA 的外部用户怎么办?他们不需要重新登录吗?鉴于这不是一个非常令人满意的用户体验,有没有办法解决这个问题?

那里有一些参考文献谈到将签名令牌作为 cookie 写入客户端浏览器,然后 STS 稍后从 cookie 验证 SSO 令牌。您将如何使用 ADFS 执行此操作?

【问题讨论】:

    标签: wif adfs2.0 adfs


    【解决方案1】:

    看看我写的关于类似场景的博客文章:

    Refreshing Claims in a WIF Claims-Aware Application

    在这种情况下,用户在本地注销,但随后被重定向回 ADFS,因为他们的 ADFS cookie 仍然有效,因此他们在此处“重新登录”。这个小跳跃对用户来说大部分是透明的,并且会更新声明。

    【讨论】:

    • 谢谢 - 我以前在其他情况下使用过您的帖子。但是,他们都使用了WIA。您是否尝试过为 FBA 配置的 ADFS?这会将他们记录在“幕后”吗?
    • 正确。如果您在 ADFS 中使用表单登录,它仍然可以工作,因为它只是查找 MSIS cookie。如果这些存在,它将自动将用户发送回依赖方,就像他们刚刚登录一样。
    • 非常好 - 目前只是做一些设计 - 暂时不会实施 - 但很高兴接受您的回答。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-07-21
    相关资源
    最近更新 更多