想象以下场景。
用户访问站点 A (ASP.NET),使用 ADFS 进行身份验证并获得一组声明。在某些时候,他们需要注册一项附加服务,以便将他们重定向到配置站点 B (ASP.NET)(也使用 ADFS - 所以 SSO),在那里他们通过输入相关详细信息进行注册并被重定向回 A。
但是,配置过程的一部分向存储库(通常是 AD)添加了属性,我们希望这些属性构成其声明集的一部分。
要做到这一点,他们有重新认证?通过强制联合注销是最好的方法吗?这将由站点 A 或站点 B 完成吗?
如果他们是使用 WIA 的内部用户,他们将在“幕后”登录,整个过程将是透明的。
如果他们是使用 FBA 的外部用户怎么办?他们不需要重新登录吗?鉴于这不是一个非常令人满意的用户体验,有没有办法解决这个问题?
有一些参考资料谈到将签名令牌作为 cookie 写入客户端浏览器,然后 STS 稍后从 cookie 验证 SSO 令牌。您将如何使用 ADFS 执行此操作?