我正在寻求与SSO IdP(身份提供商)集成,并试图了解AD是否可以担当此角色。 即,我在AD上设置了用户,用户在一个网页上进行了身份验证,该网页使用AD检查了密码的有效性,生成了可用于登录我的应用的签名令牌。
谢谢!
答案 0 :(得分:1)
是的,AD可以轻松用作故意单点登录的身份提供程序。
如果要这样做,通过Microsoft的 AD FS(Active Directory联合身份验证服务)实现Web单点登录(SSO)将是一个不错的选择。
我将引用MSDN Article on Active Directory Federation Services中的概述:
概述
AD FS是一项基于标准的服务,允许安全共享 受信任的业务伙伴之间的身份信息(称为 联盟)。用户何时需要访问网站 来自其联盟合作伙伴之一(用户自己)的应用程序 组织负责验证用户身份并提供 以“声明”形式向主持人的合作伙伴提供身份信息 Web应用程序。托管合作伙伴使用其信任策略来映射 Web可以理解的传入索赔 应用程序,它使用声明进行授权决策。
AD FS是Microsoft对WS-Federation Passive的实现 请求方配置文件协议(被动表示客户端 要求只是启用了Cookie和JavaScript的Web浏览器)。 AD FS实施基于标准的WS-Federation协议,并且 安全声明标记语言(SAML)。
... //单击上面共享的链接以获取更多信息。