我们有一个 Web 应用程序 (asp.net mvc 3),它应该支持通过 AD 进行内部使用的 SSO。我们还有一个庞大的外部用户社区,我们希望为我们的所有 Web 应用程序提供 SSO。例如:external_user1 使用相同的登录名访问 webappA、webappB 和 webappC。此外,domain\user1 可以访问所有三个 web 应用程序。我们计划使用 WIF 和 ADFS 2.0。
我们不希望所有外部用户都拥有 AD 帐户,因此,过去我们可能尝试过使用 ADFS 1.x 和 ADAM 的解决方案。但是,我们使用的是 Windows Server 2008 R2,并且 ADFS 2.0 无法使用 AD LDS(ADAM 的后继产品)来验证用户身份。
什么是 SSO 方法(使用 Microsoft 产品)?
关键问题是您是否可以利用 external_user1 帐户存储。如果可以,那么您只需要在 ADFS 和他们的 STS 之间添加另一个信任关系就可以了!这种方法是理想的,因为这样您就不再需要维护 external_user1 了。本质上是这样的:
如果您无法利用其他用户帐户,那么您仍然可以使用 ADFS v1.1 并信任自己:
您能否创建一个允许针对 ADAM 进行身份验证并且与 ADFS v2.0 具有信任关系的自定义 STS?
除了 Eugenios 的回答之外,您还应该调查 Microsoft Azure ACS。这将为您提供 Google、Facebook、Yahoo 和其他 OpenId 提供商的联合。
您的身份验证链将如下所示:
您的应用程序 -> ADFS -> Active Directory 或您的应用程序 -> ADFS -> ACS -> Google。
在本站搜索ADFS标签,你会发现很多相关的帖子。
虽然这个问题是针对 ADFS 2.0 的,其中放弃了对 LDS 作为身份提供者的支持,但看起来这将在 ADFS 4.0 中重新引入