对于给定用户,他是否需要来自ADFS的不同安全令牌才能访问不同的基于声明的应用程序?
这意味着,如果用户通过获取令牌T1通过ADFS对App1进行身份验证,App1可以通过使用T1冒充用户来查询App2吗?
或者是否需要从ADFS重新生成T2?
答案 0 :(得分:0)
ADFS 3.0(Server 2012 R2)?您已标记ADFS 3.0未使用的“iis”。
在被动场景(浏览器)中 - 没有。
两种申请的索赔规则可能有所不同。此外,令牌还包含“audience_uri”等字段,这两个字段都不匹配RP。
你为什么要这个?
用户对T1进行身份验证 - 获取T1令牌。现在用户想要对T2进行身份验证。 ADFS发现它们已经过身份验证,因此可以无缝地发出T2令牌,即无需再次进行身份验证。
如果您需要“user_impersonation”,则需要查看活动(WCF)或Web API(OAuth)。