Условная аутентификация с ADFS

Question

У нас есть полупубличный веб-сайт .Net (размещенный на нашем сервере), который должен проходить аутентификацию с помощью ADFS клиента.

Мы хотели бы перенаправить на сайт аутентификации ADFS «при необходимости» иперенаправить обратно на одну страницу нашего сайта.

На нашей странице потребуется извлечь информацию о пользователе и установить сеанс.Это в иске?Как мы можем получить эту информацию?

При перенаправлении на сайт аутентификации ADFS мы хотели бы передать информацию, которая будет возвращена нам.

Возможно ли это?

Любая информация, которую вы можете предоставить, высоко ценится.Мы искали везде и, похоже, не можем найти этот сценарий.

Спасибо!

Answer 1

На нашей странице потребуется извлечь информацию о пользователе и установить сеанс.Это в иске?Как мы получаем эту информацию?

С помощью AD FS можно настроить, какая информация отправляется обратно в ваше приложение, когда вы настраиваете проверяющую сторону на сервере AD FS.Она называется политикой выдачи утверждений:

Здесь вы можете настроить правила для отправки значений атрибутов LDAP в виде утверждений:

Теперь, когда вы декодируете SAMLResponse в своем приложении, вы увидите профиль пользователя с атрибутом, который вы настроили для этой конкретной ретрансляционной стороны.Что-то вроде (обратите внимание, в моем примере выше я настраиваю ADFS для отправки UPN и групп):

{
    "issuer": "http://fs.mysite.com/adfs/services/trust",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": 
    "aduser@mysite.com",
    "http://schemas.xmlsoap.org/claims/Group": [
        "Group 1",
        "Group 2"
    ]
}

При перенаправлении на сайт аутентификации ADFS мы хотим передать информацию, которая будет возвращена обратно

Возможно ли это?

Да, вы можете использовать RelayState.Это параметр, который вы передаете в AD FS и который возвращается в ваше приложение без изменений вместе с SAMLResponse.