我们有一个使用本地身份验证的现有 ASP.NET 应用程序 (WebForms)。我们的任务是实施单点登录解决方案,并选择使用 WIF。
我们有一个正在运行的应用程序实例,我们通过使用子域(例如 client1.ourapp.com、client2.ourapp.com 等)来识别客户端。在应用程序代码中,我们剥离了第一个子域并标识了客户端。
我们一直在使用 WIF 概念验证来弄清楚如何在用户通过身份验证后将其重定向回正确的子域。开箱即用的行为似乎是 STS 将用户重定向到配置文件中标识的任何领域。以下是 PoC 配置文件。我正在使用我的主机文件来伪造不同的客户端(即 127.0.0.1 client1.ourapp.com、127.0.0.1 client2.ourapp.com)。
<federatedAuthentication>
<wsFederation
passiveRedirectEnabled="true"
issuer="http://ourapp.com/SSOPOCSite_STS/"
realm="http://client1.ourapp.com"
requireHttps="false" />
</federatedAuthentication>
显然这是行不通的,因为我们不能将所有人重定向到同一个子域。
我们认为我们已经想出了如何处理这个问题,但希望得到一些外界的意见,看看我们是否以正确的方式做这件事,或者我们是否幸运。
我们为 FAM 的 RedirectingToIdentityProvider 事件创建了一个事件处理程序。在其中,我们从请求 URL 中获取公司名称,使用公司名称构建领域字符串,设置 SignInRequestMessage 的领域和 HomeRealm,然后让 FAM 做它的事情(即将我们重定向到 STS 进行身份验证)。
protected void WSFederationAuthenticationModule_RedirectingToIdentityProvider( object sender, RedirectingToIdentityProviderEventArgs e )
{
// this method parses the HTTP_HOST and gets the first subdomain
var companyName = GetCompanyName();
var realm = GetRealm( companyName );
e.SignInRequestMessage.Realm = realm;
e.SignInRequestMessage.HomeRealm = companyName;
}
string GetRealm( string companyName )
{
return String.Format( "http://{0}.ourapp.com/SSOPOCSite/", companyName );
}
这似乎是解决问题的合理方法吗?
我们可能会因此遇到任何问题吗?
有更好的方法吗?