您好,在外部 IDP 和 shibboleth sp 之间有一个联合身份验证。在 shibboleth sp 对相同的响应进行身份验证后,很容易在本地应用程序中使用 server env 或 http 标头。我们需要将此身份验证与 ad fs 集成,而不让 ad fs 成为初始 IDP 的服务提供者。
我们想在 shibboleth sp 的登陆页面上创建一个 jwt 令牌,然后强制一个 http 帖子到 ad fs。ad fs 是否可以通过此 jwt 令牌进行身份验证并将 jwt 声明重新映射到 as 用户以打开经过身份验证的会话?
否则可以创建一个链,如:
外部 IDP --> shibboleth sp --> ad fs sp
我们想:External IDP --> shibboleth sp --> shibboleth IDP SSO with sp--> ad fs sp
但是我们不确定是否可以在 sp 和 IDP 之间不添加身份验证
还有什么想法吗?