Каков наилучший подход к единому входу с внутренними пользователями AD и внешними пользователями? - PullRequest
Новая
       85

Каков наилучший подход к единому входу с внутренними пользователями AD и внешними пользователями?

7 голосов
/ 10 июня 2011

У нас есть веб-приложение (asp.net mvc 3), которое должно поддерживать SSO для внутреннего использования через AD.У нас также есть большое сообщество внешних пользователей, которым мы хотим иметь единый вход для всех наших веб-приложений.например: external_user1 получает доступ к webappA, webappB и webappC с одним и тем же логином.Кроме того, домен \ пользователь1 имеет доступ ко всем трем веб-приложениям.мы планируем использовать WIF и ADFS 2.0.

Мы не хотим иметь учетные записи AD для всех внешних пользователей, поэтому в прошлом мы могли использовать решение с ADFS 1.x и ADAM.однако мы работаем под управлением Windows Server 2008 R2, и ADFS 2.0 не может использовать AD LDS (преемник ADAM) для аутентификации пользователей.

Что такое подход единого входа (с использованием продуктов Microsoft)?

Ответы [ 4 ]

6 голосов
/ 10 июня 2011

Ключевой вопрос заключается в том, можете ли вы использовать внешний аккаунт external_user1 или нет.Если вы можете, то вам просто нужно добавить еще одно доверительное отношение между вашей ADFS и их STS, и все готово!Такой подход был бы идеальным, потому что тогда вам больше не нужно было бы поддерживать external_user1.По сути это:

enter image description here

Если вы не можете использовать учетные записи пользователей, вы все равно можете использовать ADFS v1.1 и доверять себе:

enter image description here

2 голосов
/ 12 июня 2011

Не могли бы вы создать пользовательскую службу STS, которая разрешает проверку подлинности по ADAM и которая имеет доверительные отношения с ADFS v2.0?

1 голос
/ 10 июня 2011

В дополнение к ответу Eugenios вам следует изучить Microsoft Azure ACS. Это даст вам федерацию Gooogle, Facebook, Yahoo и других поставщиков OpenId.

Ваша цепочка аутентификации будет выглядеть так:

Ваше приложение -> ADFS -> Active Directory или же Ваше приложение -> ADFS -> ACS -> Google.

Найдите тег ADFS на этом сайте, и вы найдете много соответствующих сообщений.

0 голосов
/ 13 февраля 2015

Хотя этот вопрос был для ADFS 2.0, в которой была прекращена поддержка LDS в качестве поставщика удостоверений, похоже, что это будет вновь введено в ADFS 4.0

https://technet.microsoft.com/en-us/library/dn823754.aspx

https://jorgequestforknowledge.wordpress.com/2014/10/20/configuring-a-new-identity-store-as-a-claims-provider-in-adfs/

...