у нас есть приложение, защищенное SAML. SP - shibboleth 3. Сервер приложений - Tomcat.
Приложение определяет «критические запросы», такие как утверждения и некоторые изменения. Когда пользователь делает такой запрос, он вынужден повторно аутентифицироваться.
Способ, которым это реализовано сейчас, заключается в том, что появляется iframe, в котором пользователь повторно аутентифицируется. Наш IDP находится в помещении, и мы смогли добавить к ним заголовки «X-Frame-Options», чтобы разрешить загрузку страницы входа в iframe.
Теперь мы переключаем IDP на Azure ОБЪЯВЛЕНИЕ. Они также отправляют заголовок «X-Frame-Options» со значением «Запретить».
Мы действительно все равно хотим отойти от решения iframe. Причина, по которой они впервые представили его, заключалась в том, чтобы сохранить сеанс пользователей, который будет перезаписан при входе в систему в том же фрейме.
Мы изучали CORS, но для этого также требуются заголовки, установленные на стороне сервера. ,
Есть ли простой способ добавить заголовки для вышеуказанного сценария на стороне AZURE? Не лучше ли нам использовать нашу энергию, исследуя, как поддержать вторичный / параллельный сеанс на коте?
спасибо.