计划使用ADFS进行联合。我们发现的一个重大挑战是,并非所有应用程序都可以识别声明,并且每个应用程序都具有不同的基于角色的访在这样的情况下,我们如何使用身份声明实现100%SSO身份验证和授权。
如果ADFS无法支持此类要求,那么可以使用哪些其他供应商解决方案来支持此类要求。
答案 0 :(得分:1)
.NET世界中的声明感知应用程序使用WIF / WS-Federation在SAML令牌中获取一组声明,然后用于控制用户访问和功能。
ADFS仅回答WS-Federation或SAML请求。
因此,要使非声明感知应用程序使用AFDS,需要更改应用程序以添加对这些协议之一的支持。
请参阅:SAML : SAML connectivity / toolkit以及帖子内的链接。
或者你可以走另一条路,在应用程序周围添加类似OpenAM代理的东西,然后联合OpenAM和ADFS。
Server 2012 R2上的ADFS具有作为Web应用程序代理一部分的新功能,请参阅Create a Non-Claims-Aware Relying Party Trust。
这里有一个演练 - Walkthrough Guide: Connect to Applications and Services from Anywhere with Web Application Proxy
这是一个很好的例子 - First Impressions – AD FS and Window Server 2012 R2 – Part II。