在依赖方上使用被动联合身份和登录页面实现SSO

Question

我们使用被动联合身份（C＃，ASP.Net MVC 3，WIF）为一组具有不同域名的网站实施了SSO（单点登录）。安装工作正常，因为它遵循STS上托管登录页面的标准被动联合。

www.brand1.com
www.brand2.com
...
www.sts.com（此处托管的登录页面）

现在，客户希望在每个依赖方上实施登录页面，以便用户不会被重定向到STS。原因是每个依赖方都是已知品牌，因此重定向到不同的域名（托管STS）对于相应的品牌是不可接受的。也不接受在STS上为每个品牌定制登录页面。

有没有办法将登录页面移动到依赖方？

Answer 1

您可以使用以下两种方式：

1. 您可以在每个依赖方上创建一个登录页面，该页面使用active federation对您的用户进行身份验证。这取决于提供WS-Trust端点的STS。
2. 如果您可以控制STS代码，您只需让您的依赖方将登录凭据（用户名/密码）POST到STS，STS站点将像以前一样处理身份验证请求。这是我过去成功使用的一种方法。

希望这有帮助。