Доверяющий серверу ADFS внешней организации и использующий токен openid Connect

Question

ADFS сервер 2016 поддерживает OpenId Connect.У меня есть внешняя организация, в которой размещается сервер ADFS, и я хочу, чтобы мое веб-приложение проходило проверку подлинности с внешнего сервера ADFS с использованием openIdConnect.

Вопрос. Согласно документам Microsoft.Если мы хотим использовать ADFS внешней организации, мы также должны разместить ADFS в нашей организации.Мое приложение должно доверять ADFS, размещенной в моей организации, вместо того, чтобы доверять внешней ADFS напрямую.

Здесь я хочу знать, почему мы не можем напрямую доверять внешней ADFS с помощью opendiconnect?Кажется возможным.в чем причина не доверять внешней ADFS напрямую?

Answer 1

Обе модели работают.Если ваше приложение планирует иметь пользователей из нескольких организаций, лучше, чтобы ваше приложение доверяло внутренней организации ADFS, которая затем может быть объединена с несколькими из этих организаций с помощью простых изменений конфигурации.Это делает приложение проще, когда оно имеет дело только с одним IDP.Дополнительным преимуществом наличия внутренней ADFS является то, что любые изменения политики аутентификации могут полностью управляться на внутреннем уровне ADFS и не требуют изменений приложения.

Однако, если ваше приложение будет поддерживать только одну внешнюю организацию, вы можете сделать это прямо в приложении.Обе модели работают на это.

Надеюсь, это поможет.

Спасибо // Сэм (Twitter: @MrADFS)