0

我有一个设置,其中 ADFS 有多个服务提供者 (SP),ADFS 充当身份提供者,使用 Active Directory 作为名称 ID 存储。

现在需要的场景是用户遵循以下步骤: 步骤1:用户尝试访问应用程序1,并被SP1重定向到身份提供者进行身份验证。第 2 步:身份验证后,用户将与 SAML 响应一起重定向回应用程序。步骤 3:现在用户想要访问应用程序 2,SP2 将用户重定向到 Idp,但她不想被 IDP 重新认证。我们要设置单点登录,这样用户就不必多次登录。

有什么方法可以配置 ADFS 以便在 SP 之间建立信任并且不需要身份验证?也许有一些配置可以通知 ADFS,以便不再要求凭据?

我将 Windows Server R12 上的 ADFS2.1 作为 IDP,并将 Oracle weblogic 服务器用作服务提供商。我的应用程序部署在这些 weblogic 服务器上。

在此处输入图像描述

4

2 回答 2

1

我没有使用 Oracle Weblogic 作为 SP 的经验,我的经验是 .NET 和 Windows 识别框架。但是,如果您在 ADFS 中为每个 SP 设置了依赖部分信任 (RPT),则在您使用 ADFS for SP1 进行身份验证后,当您尝试访问 SP2 时,如果 SP 将您重定向到 ADFS 再次进行身份验证,ADFS 应该识别您已经通过身份验证(由于 cookie 访问令牌)并向您发出特定于 SP2 的 SAML 响应,而无需进行额外的身份验证。在 ADFS 3.0 (Windows Server 2012 R2) 中,多因素身份验证可能发挥作用,因此如果不涉及 MFA,这将成立。

在您向 SP1 进行身份验证后,您目前是否遇到了 SP2 的第二次登录提示?

于 2015-08-05T13:59:25.517 回答
0

我发现当我启用额外的 IDP 时,所有重新身份验证都会再次强制选择 IDP,从而失去正常的 SSO 体验。

于 2016-10-03T11:53:48.910 回答