我正在配置 ADFS 服务器,并试图为我们的依赖方应用程序实现用户友好的登录。
据我所知,目前有两个相关选项:
- Windows 身份验证:这作为单点登录提供程序非常有用,但如果用户当前不在正确的 Windows 域中,则会提供对用户不友好的弹出窗口。
- 表单身份验证:无论用户来自何处,这将始终要求登录方法。
我的问题是,是否有可能满足这些要求:
- 如果用户使用 windows 帐户登录,请提供 SSO
- 否则,显示表单登录页面并让用户输入他的 Windows 凭据。
问问题
11186 次
2 回答
7
一般而言,没有程序化的方式来检测用户是否在域上或不是来自网站。因为当您的站点配置了 Windows 身份验证(并禁用匿名)时,ntlm 质询会发送到浏览器,并且如果您不在域中,则会弹出凭据提示。
实现这一点的方法是使用 DNS,这也是 ADFS 通过引入代理角色所推荐的。您将让内部 DNS 解析login.yourcompany.com为启用了 Windows 身份验证的内部 ADFS,并将外部 DNS 解析login.yourcompany.com为启用了表单身份验证的代理 ADFS 角色。因此,您需要在 DMZ 上托管另一台服务器,以便网络/域之外的用户可以访问它。
除非您在同一 ADFS 服务器上绑定到外部 IP 的人工网站并且该网站重定向到“/adfs/ls/forms”,否则无法使用单个 ADFS 服务器执行此操作"
有关代理及其设置的更多信息 http://blogs.technet.com/b/askds/archive/2012/01/05/understanding-the-ad-fs-2-0-proxy.aspx
马蒂亚斯
于 2012-07-13T13:45:02.233 回答
0
您可能会发现它很有趣,根据浏览器通知的用户代理字符串定向形成身份验证或集成身份验证:https ://blogs.ncl.ac.uk/isg/?p=296
于 2014-03-19T17:25:53.097 回答