0

场景:在内网应用程序中,ADFS 使用 AD 进行身份验证(帐户存储),使用 Sql server 进行授权(角色/属性存储)。

这些角色是我自己的应用程序特定的。还有其他需要使用 ADFS 的应用程序。如果 ADFS 配置为使用我的 SQL Server 来获取角色,其他应用程序会做什么?他们将如何管理他们的授权?

我的理解正确吗?如果是,请验证我的回答:

回答:ADFS 只返回我的 AD 标识符(SID/名称)。我将它映射到我的 sql 服务器角色。角色管理应该由我自己的应用程序连接到 Sql 服务器来完成。使用 session 来防止每次都点击 DB 进行授权。

4

1 回答 1

0

为了避免每次授权检查都访问 SQL 服务器,您可以实施基于声明的身份验证。使用 SQL 属性存储将您的角色声明添加到 AD 用户 ID 声明。生成的声明票据 (SAML) 作为 cookie 发送,并且不会在每次身份验证检查时获取,因为它由服务器在每个请求上可用的用户浏览器保存为 cookie。可以通过调整索赔票证 TTL(生存时间)来设置超时/刷新。
只是一个建议... =o)

于 2014-02-25T14:01:40.447 回答