1

ホストされたWebアプリケーションがあり、フォーム認証を使用しています。このWebアプリケーションには、さまざまなパートナー組織に属するユーザーがアクセスします。現在、パートナー組織に所属するユーザーは、提供された資格情報を使用してアプリケーションにアクセスしています。

現在、一部のパートナー組織は、ユーザーがActiveDirectoryの資格情報を使用してアプリケーションにアクセスすることを望んでいます。これらのパートナー組織にADFSを使用することを計画しているため、ユーザーはネットワーク内のActive Directoryを使用して認証され、クレームはADFSによって設定された認証トークンCookieを介してWebアプリに送信されます。クレームから、ユーザーをWebアプリケーションの内部userIdにマップします。

私の質問は、WebアプリケーションをADFSを有効にした場合、1)他のパートナー組織のユーザー(ADFSを使用したくない)が既存のログインページ(フォーム認証)を使用してWebアプリケーションにログインできるようにすることは可能ですか? )?2)ADFS対応のWebアプリのすべてのページにhttps経由でアクセスする必要がありますか?

任意の解決策やポインタをいただければ幸いです。

ありがとう-arul

4

1 に答える 1

3

アプリは、ユーザーがどこからログインしたかに関係なく、ユーザーを説明するクレームを要求する必要があります。いずれの場合も認証を処理するべきではありません。これは、信頼できる発行者である STS に委任する必要があります。これにより、ユーザーがどこでどのように認証するかに関係なく、統一された方法でユーザーと対話できます。これは、ID プロバイダー (IP) STS とフェデレーション プロバイダー (FP) STS の 2 つの役割で ADFS を使用する必要があることを意味します。ユーザー自身を維持したくないパートナー企業のユーザーの場合は、あなたが IP-STS になります。そうする人は、FP-STS になります。後者の場合、ADFS はユーザーをレルムからパートナーのサイトにリダイレクトしますIP-STS はそれらを認証し、FP-STS に送信します。パートナーのユーザー ID とクレームを、レルムで意味のあるものにマップします。ユーザーに関するこの情報とその他の情報は、FP-STS から発行される一連の要求に含まれます。その結果、アプリは、さまざまなユーザーに適したシナリオに関係なく、STS のみを信頼します。このシナリオでは、ADFS FP-STS とパートナーの IP-STS の 2 つの STS があることに注意してください。これは ADFS である場合とそうでない場合があります。それ以外の場合、STS は 1 つだけです: IP-STS です。

ADFS Web アプリのすべてのページに HTTPS 経由でアクセスする必要はありません。ただし、認証プロセスで使用されるすべての人がそうである必要があります。

これは本当に重要な仕事です。それについてもっと話したい場合は、お気軽にご連絡ください

于 2009-11-20T18:14:36.220 に答える