我已决定使用我的 Web 应用程序进行 SSO 的流程。由于我的应用程序在客户端外部托管,因此任何希望实施 SSO 的客户端都需要在其站点上托管 AD 查找应用程序,这将为更大的外部托管应用程序生成 SAML ... login(?)。
我现在正在研究为这个过程采取什么途径。最简单的过程是使用用户的网络凭据执行潜在的资源廉价的 LDAPS 查找,以确认它们存在,然后重定向到外部应用程序并使用用户的电子邮件标识符执行完整的查找(再次通过 LDAPS)。在此基础上,应用程序可以决定用户是否经过身份验证,以及允许他们进行何种访问。
更复杂的过程是涉及 ADFS,在本地进行完整查找,并生成包含用户 AD 配置文件作为可请求资源的 SAML 登录。
AD 配置文件的存在很重要,因为应用程序设计的一部分是可能基于 AD 的功能。
第一种方法是资源便宜的,并且不需要客户端做更多的事情,只需要打开一个专门允许来自我们基础设施的请求的 LDAP 服务器。
第二种方法需要客户方面的特定技能,包括证书等。与 ADFS 一起使用是否有任何额外的安全保证,或者它在功能上是否相同?