0

ADFS 服务器 2016 支持 openId 连接。我有托管 ADFS 服务器的外部组织,我希望我的 Web 应用程序使用 openIdConnect 从外部 ADFS 服务器进行身份验证。

问题:根据 Microsoft 文档。如果我们想使用外部组织的 ADFS,我们也应该在我们的组织中托管 ADFS。我的应用程序应该信任托管在我的组织内部的 ADFS,而不是直接信任外部 ADFS。

在这里我想知道为什么我们不能使用 opendiconnect 直接信任 External ADFS ?这似乎是可能的。不直接信任外部 ADFS 的原因是什么?

4

1 回答 1

1

两种模型都有效。如果您的应用程序计划拥有来自多个组织的用户,最好让您的应用程序信任内部组织 ADFS,然后通过简单的配置更改将其联合到这些组织中的多个。这使得仅处理一个 IDP 的应用程序更简单。拥有内部 ADFS 的另一个优势是任何身份验证策略更改都可以在内部 ADFS 层进行完全管理,并且可能不需要更改应用程序。

但是,如果您的应用程序只支持一个外部组织,您可以直接在应用程序中执行此操作。两种模型都适用于此。

希望有帮助。

谢谢//山姆(推特:@MrADFS)

于 2019-02-05T22:09:35.057 回答