如果您能对我遇到的问题有所了解,我将不胜感激。
我有一个使用 2 因素身份验证的 Web 应用程序,第一个是 AD 用户名和密码。现在这个网络应用程序是互联网托管的,不驻留在任何内部域上。它通过 LDAP 连接到 AD 域。
在同一个应用程序中,我们希望用户能够通过 SSO 发送和接收他们的 Gmail 电子邮件。我们不希望他们为他们的 gmail 帐户重新输入用户名和密码。相反,用户可以将他们的 Gmail 用户名存储在 Active Directory 中的用户属性(如描述)中。
身份服务器和我们的网络应用程序都将位于同一个互联网托管服务器上,但不会成为任何 AD 域的一部分,因为我们的网络应用程序和身份服务器都将用于多个域。
Identity Server 应该能够从我们的 web 应用程序接收特定域的域详细信息和服务帐户详细信息。
当用户登录我们的网络应用程序时,Google 的自动 SSO 请求会发送到身份服务器,其中包含用户所属域的信息。SSO 请求得到满足并建立了一个会话。然后用户应该只能在我们的网络应用程序中看到 Gmail 电子邮件、联系人、日历等。
我不知道这是否可能。
对此或确实实现类似功能的任何建议将不胜感激。