SSO от внешнего веб-приложения для нескольких провайдеров LDAP (AD)

Question

Мы ищем решение этой проблемы:

Мы размещаем веб-приложение ASP.NET снаружи на выделенном веб-сервере, который находится в его собственном домене. У нас есть клиент, который использует исключительно веб-приложение и хочет, чтобы SSO, используя свои учетные данные Windows, автоматически проходил аутентификацию в веб-приложении без необходимости входа в систему. У этого клиента есть пользователи в 3 разных доменах по всему миру, поэтому некоторые пользователи могут находиться в домене Великобритании, другие в домене США и т. Д.

Пока я смотрю на несколько вариантов:

1) Пользовательский поставщик членства LDAP, который каким-то образом может проходить проверку подлинности на основе этих внешних источников AD. Не уверен, возможно ли это еще ...

2) CAS (http://www.jasig.org/cas) для создания центральной службы аутентификации, которая может подключаться к источникам AD. Не уверен, будет ли возможно подключить CAS к нескольким источникам AS.

Есть ли у кого-нибудь мысли или подобные переживания, которыми они могут поделиться для достижения этой цели?

Спасибо

Answer 1

Возможно подключить CAS к нескольким источникам AD. Теперь у нас есть нечто подобное для нашего внешнего портала. Внешние клиенты хранятся в пользовательской таблице пользователей, а внутренние пользователи находятся в 1 из нескольких доменов AD. Мы должны были написать собственный аутентификатор, который мог бы выполнять поиск подходящего (таблица, по сравнению с одним из нескольких доменов), но это было довольно просто написать.

Answer 2

У меня нет опыта, но я думаю, Служба федерации Active Directory s (ADFS) предназначена для такого рода вещей.