我的任务是在公司实施SSO。我们使用SAM启动Sp启动的SSO。我已经设置了一个内部IIS 7托管的Idp,可以与SalesForce.com SP交谈(交换证书,配置web.config文件以使用Windows身份验证,所有这些好东西)。
我们的组织正在使用活动目录,因此我将IIS设置为使用Windows身份验证(禁用匿名身份验证),并将NTLM作为唯一的提供程序。我们的IIS也启用了SSL。
现在,当我以用户身份访问salesforce网站时,它会按预期重新定向到我们的Idp。但是,我立即在浏览器中收到提示,要求我登录。这不是理想的行为,我们希望用户无缝地进行身份验证并重新定向回salesforce。
当我直接从我的计算机点击我们的Idp网址时,它会识别我已登录到域,但是当通过SAML SSO从salesforce访问时则不是这种情况。为了解决这个问题,我将Idp服务器添加到了IE中的可信站点。这最终起作用,因为在IE的高级 - >安全设置中启用了“启用集成Windows身份验证”。 Chrome也最终正常工作(因为看起来它需要IE的可信站点设置?)。但是,FireFox无法正常工作。
我想知道是否有人知道为什么浏览器在从salesforce重定向时无法识别出Idp在域上。有人有什么想法吗?
谢谢!
答案 0 :(得分:0)
您必须像其他浏览器一样为FF启用正确的配置选项,以便它知道要信任的站点。
在地址栏中输入“about:config”,然后从选项列表中搜索“negotiate”。您可能需要玩一下以确保您获得正确的行为,但至少应将您的网站或域添加到“network.negotiate-auth.trusted-uris”。您可以在Web上搜索列表中每个选项的详细说明。这是一篇FF文章,可以帮助您入门 -
https://developer.mozilla.org/en-US/docs/Integrated_Authentication
HTH, 伊恩