使用OpenID Connect在需要SAML和Web应用程序(例如在云端)中的SAP Web应用程序之间进行SSO的最佳(或任何)方法是什么?
可以使用Microsoft ADFS向登录SAP-App的用户提供SAML令牌,以及当用户切换到非SAP Web应用程序时 - 在没有用户的情况下发出JSON Web令牌(JWT)再次登录?
谢谢!
答案 0 :(得分:0)
是的,ADFS可用于此目的。确保在Windows Server 2016 [ADFS 2016]中使用ADFS,它支持OIDC(Windows 2012 R2中的ADFS不支持OIDC)。
因此,假设您的用户存储在本地的Active Directory中,您可以使用不同的协议(SAML,WS-Federation,OIDC,OAuth)安装ADFS并在其中配置多个应用程序。
对于Web应用程序,当用户打开浏览器并访问Web应用程序URL时,它们将被重定向到ADFS以进行身份验证。通常,如果用户位于内部网络中,则身份验证将为IWA [集成Windows身份验证 - Kerberos],如果用户位于外部网络中,则ADFS Web应用程序代理[WAP]将显示FBA [基于表单的身份验证] form - 在任何一种情况下,用户都将针对Active Directory进行验证。身份验证后,用户将再次重定向到Web应用程序。如果用户打开另一个Web应用程序,它们将已针对ADFS进行身份验证 - 无需再次进行身份验证。
另外几条评论: