我正在尝试确定SSO是否是我想要在我的场景中使用的。我们所有的用户都在AD中。我有一些基于Web的服务通过AD进行身份验证(目前他们在访问站点时要求用户登录)。要点:
基于AD的SSO是否有效:
是否可以使用后备身份验证机制?例如如果SSO不可用,那么请回到http auth或cookie auth?
干杯,
维克多
答案 0 :(得分:1)
是的,如果使用缓存凭据,当浏览器请求Kerberos服务票证时,Windows将使用缓存的凭据为用户获取TGT,然后请求服务票证。这对用户来说是透明的,因此他们可以获得与在办公室,连接到LAN以及不使用缓存凭据相同的体验。
其他一些浏览器支持Negotiate协议,而不仅仅是IE。我知道Firefox确实如此,我认为Safari也会这样做。
答案 1 :(得分:1)
您可以通过ADFS获得更大的灵活性,ADFS是一个允许您使用基于声明的身份验证的Windows组件。
intra / extranet sceanrios更简单,互操作故事非常好。 (因为您的网站不是Microsoft网站)。
TechNet中的大量文档