0

我需要一个好的建议,并想知道解决方案是否可行。现在我的一个客户有一个通用的登录应用程序,它基于使用会员提供程序的表单身份验证(ASP.NET)。所有内部用户都使用其 AD 凭据登录,外部用户使用自定义用户名和密码。两者都通过表单身份验证包装。现在的新提议是用 ADFS 替换此 Forms 身份验证。我在互联网上浏览了各种文章,无法得出结论。让我列出到目前为止我对 ADFS 扩展点的发现。

1) 可以通过https://blogs.technet.microsoft.com/cloudpfe/2013/12/27/how-to-create-a-custom-attribute-中提到的方法向 ADFS 声明添加自定义属性store-for-active-directory-federation-services-3-0/

2) 可以通过https://blogs.msdn.microsoft.com/jenfieldmsft/2014/03/24/build-your-own-external-authentication-方法添加第二级身份验证(或多因素身份验证) provider-for-ad-fs-in-windows-server-2012-r2-walk-through-part-1/。在这里,我了解到,在 AD 完成第一级身份验证之后,只有我们的外部提供商才会出现。

所以我有一个普遍的问题,那就是真的有可能用 ADFS 实现我想要的。请告诉我。

4

2 回答 2

1

这取决于用户帐户的存储位置。如果内部和外部用户都在 AD 中,您可以重定向到 ADFS。

如果 internal 位于 AD 中,而 external 位于不受信任的或其他 LDAP 源中,则使用 ADFS 2016 您可以链接到这两个帐户存储并仍将身份验证卸载到 ADFS。

如果 external 在 SQL 中,您可以使用前面的虚拟目录将其投影为 LDAP 存储(上一个选项)或使用 IdentityServer。

如果 externs 是别的东西,你需要 IdentityServer。

谢谢//山姆(@MrADFS)

于 2016-08-09T14:24:31.800 回答
0

是的 - 您可以添加自定义属性存储。

是的 - 您可以添加自定义身份验证器。

更好的方法可能是将 thinktecture 的 IdentityServer 3.0 用于 ASP.NET Identity 部分,然后联合 IdentityServer 和 ADFS。

于 2016-08-07T19:19:11.340 回答