【发布时间】:2019-03-15 14:17:34
【问题描述】:
我们有一个使用我们自己的自定义身份验证的 asp.net webforms 应用程序。我的任务是允许我们的一位客户使用单点登录到我们的应用程序,并且他们拥有自己的 adfs 服务器。我们的想法是让更多的客户在未来这样做。
我看到的允许多个联合方连接到我们的应用程序的示例涉及我们设置自己的 ADFS 服务器,而管理层不想这样做。
我没有找到任何通过 web.config 设置多个联合的示例。能做到吗?
【问题讨论】:
-
因此,当您的客户不小心错误地配置了他们的服务器并通过声明让他们的用户成为您的整个产品的管理员时,您是否仍然确信盲目信任其他人的身份提供者是有意义的,或者您是否希望在 a) 您的应用程序可以信任和 b) 可以从其他身份提供者执行适当的声明转换之间插入一个产品?
-
这纯粹是出于身份验证的目的,还是您应该从这个外部提供商那里获得角色/权限/声明?
-
给我的要求是我们的应用程序需要通过提供的身份验证令牌来验证用户的身份验证,如果他们没有经过身份验证,则将他们重定向到他们的联合(身份提供者)。在他们通过身份验证后,使用他们的系统给我们的电子邮件声明来了解他们是谁。
-
Damien,为了回答您的问题,我希望我们自己的 ADFS 来处理验证,但这些是给我的要求。根据我的研究和有限的理解:如果他们在令牌中提供我们可以验证的证书,我们就不必盲目地信任来自另一个身份提供者的身份验证。也许我要问的问题是不可能的或不安全的,在这种情况下,我需要了解并感谢我可以用来带回主管的任何信息。
标签: c# asp.net authentication single-sign-on ws-federation