我们有一个在WebSphere App Server 8.5.5环境中运行的Web应用程序,我们当前正在对数据库表进行身份验证。我们现在正在使用SAML针对ADFS IdP进行身份验证。这就是问题:ADFS中的某些用户可能不存在(ADFS后面的AD)。所以我认为我们想要的场景是:
1)如果我们收到认证失败的SAML响应,则回退到基于表单的身份验证
或
2)以某种方式在应用程序中有2个入口点,1个SAML驱动,另一个从基于表单的登录开始。
是否有人遇到过这种情况,并且是上述可能的解决方案,可以在WebSphere 8.5.5中使用吗?
答案 0 :(得分:1)
在WebSphere SAML服务提供程序(SP)实现中,在检测到收到的SAMLResponse有效时,SP会将用户重定向到预先配置的登录页面(启动新的SSO)或错误页面。这样做可以确保用户始终由SAML IdP进行身份验证,并且经过身份验证的主题始终包含用于传播和其他后期处理的SAML。
SAML SP支持过滤器,仅接受满足过滤器中定义的条件的请求。您可以定义SAML应忽略的过滤条件,并且可以使用URL模式或任何http标头名称作为过滤条件。
如果过滤器无法满足您的要求,我们可以进一步评估其他选项。