在使用ws-federation被动的ADFS RP-STS中,您是否可以根据声明的价值或存在将用户重定向到备用URL,而不是将其发送回最初请求的依赖方? / p>
例如,如果用户登录RP-STS并且电子邮件声明不存在,您是否可以将用户重定向到可以输入其电子邮件地址的页面(不在同一依赖方)?
我目前的解决方案是使用转换规则来检测电子邮件地址声明的缺失,并发出一个名为" http://mycompanyurl/claims/redirect"值为" http://mycompanyurl/getemail"。然后,我将该声明传递给每个依赖方并期望它们执行重定向。此解决方案的明显缺点是每个依赖方都需要实现自定义代码。
答案 0 :(得分:0)
鸽子的伎俩可以总是重定向到中间的男人"。该人(相当于申请)将根据索赔和返回网址进行必要的重定向。就您的应用程序而言,这是STS,但它使用adfs来获取安全令牌。它也可能会重新签署该adfs安全令牌。 我们使用这种方法来实现"缺少索赔"," ip安全令牌统一","条款和条件版本控制"等...