1

ADFS 2.0,WIF(WS-Federation):我想在用户首先访问 IdP 网站进行身份验证的场景中实现 SSO。在这种情况下,我们的客户拥有带有指向我们(服务提供商)网站链接的内部网门户网站,这实际上将他们引导到 IdP 网站,并在用户通过身份验证后立即将他们重定向到我们的网站。我找不到有关如何正确实施它的技术细节的任何信息,有人可以吗?

到目前为止,我做了什么,我使用 Fiddler 抓取了指向 IdP 的重定向链接作为门户链接,看起来它可以工作,但是我不确定这是否是正确的方法。如果你有类似的经历,请分享。

更新:更详细的用例:我们的客户拥有自己的内部网门户,其中包含指向我们网站(服务提供商)的链接。这个想法是为了避免额外的初始 http 重定向并为不同的客户提供单一入口点,以便我们的网站可以依靠来自用户的安全令牌来识别客户的身份,否则我们应该为任何客户提供单独的 uri . 用户单击该链接,它首先将他引导至其自己的 Intranet IdP 服务 (ADFS 2.0),该服务使用他的 windows 帐户对他进行身份验证并添加安全令牌并将他重定向到我们的(依赖方)网站,我们可以在该网站上识别他和他的组织(客户)通过令牌,他可以消费我们的服务。让我知道该场景是否有问题或看起来可疑。

4

1 回答 1

0

正常情况是通过 FedUtil 绑定到 ADFS 的 RP URL 是 ADFS 返回的。因此,如果门户绑定到 ADFS(听起来不像,因为您不必登录即可到达那里?)那么这就是您在通过身份验证时返回的地方。

如果您的网站绑定到 ADFS,则用户转到门户,单击链接,进行身份验证,创建带有声明的令牌并重定向到您的网站。

于 2011-12-05T21:33:04.923 回答