ADFS 2.0,WIF(WS-Federation):我想在用户首先进入IdP网站进行身份验证的情况下实施SSO。在这种情况下,我们的客户拥有内部网络门户网站,其中包含指向我们(服务提供商)网站的链接,实际上会将其引导至IdP网站,并在用户通过身份验证后立即将其重定向到我们的网站。我找不到任何有关如何正确实施技术细节的信息,任何人都可以吗?
到目前为止,我使用Fiddler抓取了IdP的重定向链接,用作门户链接,看起来很有效,但是我不确定这是否是一种正确的方法。如果您有类似的经历,请分享。
更新:更详细的用例:我们的客户拥有自己的内部网门户,其中包含指向我们网站(服务提供商)的链接。我们的想法是避免额外的初始http重定向,并为不同的客户提供单一入口点,以便我们的网站可以依靠来自用户的安全令牌来识别客户的身份,在其他情况下,我们应该为任何客户提供单独的uri 。用户单击该链接,首先将其引导至其自己的Intranet IdP服务(ADFS 2.0),该服务使用其Windows帐户对其进行身份验证,并添加安全令牌并将其重定向到我们(依赖方)的网站,在那里我们可以识别他和他的组织(客户)通过令牌,他可以消费我们的服务。如果情况有问题或看似可疑,请告诉我。
答案 0 :(得分:0)
正常情况是通过FedUtil绑定到ADFS的RP URL是ADFS返回的。因此,如果门户网站绑定到ADFS(听起来不像是因为您不必登录才能到达那里?)那么这就是您在进行身份验证时返回的位置。
如果您的网站是ADFS绑定的,那么用户会进入门户网站,点击链接,获得身份验证,创建声明的令牌并重定向到您的网站。