2

次のシナリオがあります。フォーム認証を使用する既存の .NET (Silverlight) アプリケーション。Active Directory に対して既にログインしているユーザーが、アプリケーションにアクセスするときに再度ログインする必要がないように、ログイン機能を拡張したいと考えています。アプリケーションは、Active Directory が存在する環境とは別の環境でホストされます。したがって、アプリケーションは Active Directory に直接アクセスできません。したがって、進むべき道は ADFS 2.0 を使用することだと思いますが、次の点を明確にしたいと考えています。

  1. 「実際のシングル サインオン」を実装することは可能ですか。ユーザーが AD に対してログインすると (通常は朝の Windows ログインによって)、ユーザーはダイアログを求められることなくアプリケーションにアクセスできますか?

  2. アプリケーションにどのように実装できますか: アプリケーション固有のユーザー リストに対してドメインの電子メール アドレスを検証し、ユーザーをアプリケーションのフロント ページにリダイレクトする中間ページにセキュリティ トークンを提供するのは「単なる」問題ですか? ?

私は次のリソースに目を通しました

Active Directory をクレーム プロバイダーとして使用するように IIS と ADFS を構成する方法

ADFS 2 のインストールとアプリケーションのフェデレーション

ADFS 2.0 をインストールし、SSO 用に SAML を構成する方法 (自動ログイン/AD ログイン統合)

-しかし、私はまだ上記を明確にすることができません。

4

1 に答える 1

0

たくさん掘り下げて読んだ後、私は次のことを思いつきました:

「シングル サインオン」という用語には、次の 2 つの一般的な用法があります。

1) 同じ ID を使用して複数のアプリにログインする。つまり、Active Directory などの単一の ID ストアによって定義された 1 つの ID があり、その ID を複数のアプリケーションで使用し、会社やネットワークの境界を越えて使用します。

2) 自動サインオン。これは、ネットワーク、ID プロバイダー、およびアプリケーションの組み合わせが一緒になって、ユーザーが認証情報を確認したとしても、認証情報を提供する必要がまったくない状況を作り出すことを意味します。これは、コンピューター/ネットワークの資格情報を取得、送信、またはテストできるアプリケーションを通じて、少し魔法のように機能します。Internet Explorer は ADFS でこれを行うことができますが、AD サーバーがクライアントと同じフォレストにある必要があると言われました。

残念ながら、あなたが求めているのは #2 だと思います。ADFS の大きな部分や考慮事項ではないことは確かです。ADFS は主に、「自動化された」サインオンではなく、「フェデレーション」サインオンを支援することを目的としているようです。

于 2014-02-26T21:56:28.763 に答える