外部向けの Forms 認証済みサイトがあります。
新しいクライアントは、ユーザーが資格情報を維持 (記憶) してサイトに入力する必要がなく、Windows ネットワークの資格情報を使用してシームレスにログオンできるようにすることを望んでいます。
前回チェックしたとき、これは不可能でしたが、誰かが同様の要件を持ち、どのようにそれを達成したのか疑問に思いました.
SSO プロバイダーを使用して調査する必要がありますか?
質問する
335 次
2 に答える
1
これを実現する正しい方法は、SAML 2.0 を採用して、アプリケーションと顧客の Windows ネットワーク資格情報 (Active Directory に保存されている) の間のユーザー ID 情報の交換を処理することです。認証オプションとして SAML を採用することで、最大限のセキュリティと柔軟性が得られ、顧客が必要とするあらゆる種類の認証を実装できるようになります。SAML は、顧客と ID 情報を安全に交換できる標準ベースの方法になります。
非常に大まかに言えば、顧客は SAML 2.0 ID プロバイダーを実装して、既存の Windows 資格情報を活用できるようにします (これを簡単に実行できるサード パーティ製アプリが多数あります。一例として pingone.com を確認してください [注: 私は Ping Identity で働いています])。ユーザーが安全に認証されると、IDP によってデジタル署名された SAML 応答 (ユーザーの ID を含む) が生成され、ブラウザーを介してアプリケーションに送信されます。アプリケーションはレスポンスを検証し、アプリケーションへのアクセスをユーザーに許可するかどうかを決定します。
フローをよりよく理解するためのヒント -
- http://documentation.pingidentity.com/display/PF70/IdP-Initiated+SSO--POST#IdP-InitiatedSSO--POST-1056251
- http://en.wikipedia.org/wiki/SAML#The_SAML_Use_Case
Ping Identity には、単純な RESTful API ( https://www.pingone.com/#developer )を介して SAML 2.0 サービス プロバイダーの要件を迅速に実装できるサービスもあります。
HTH - イアン
于 2013-08-21T21:02:36.513 に答える
0
クライアントはインフラストラクチャに ADFS2.0 をデプロイする必要があるようです。ADFS は、連携アプリケーションの Active Directory ID を公開する ID プロバイダーです。
次に、アプリケーションで、リモート adfs を使用して WS フェデレーション認証を実装するだけです。技術的には、次の 2 つの異なるフローがあります。
- 一部のユーザーは、ユーザー名/パスワードでログインします
- 他のユーザーは、リモート認証を開始するログイン ページの「リモート adfs でログイン」ボタンをクリックします。リモート adfs にリダイレクトされ、そこでユーザーがユーザー名とパスワードを入力すると、クレームを含む SAML トークンがアプリケーションに返されます。クレームは、ユーザー名、電子メール、ユーザー ID、役割 (グループ)、またはその他の Active Directory 属性を記述することができます
ADFS2 は無料でダウンロードできる Windows Server のコンポーネントであるため、展開に大きな問題はありません。
この無料の電子ブックは便利なはずです
于 2013-08-28T10:03:57.413 に答える