私は ADFS/SSO の世界に不慣れで、現在、Java ベースの Web アプリケーションと Windows ネイティブ エージェントに AD FS を使用してシングル サインオン (SSO) を実装する機能に取り組んでいます。
以下は私たちの要件です:
私はインターネットで読んでいますが、物事はまだ混乱しています. 次の質問があります。
前もってありがとう、プラヴィーン
ユーザーは自動的にログインする必要があります
これは、ブラウザーが IWA 用に正しく構成されている場合に機能します。
企業ネットワークの外にいても、ソリューションは機能するはずです
いいえ - Kerberos は機能しないため、FBA を使用する必要があります
AD FS と統合できますか? ユーザーが企業ネットワークにいない場合でもソリューションが機能するようにするには?
はい - ADFS WAP もインストールする必要があります。スプリット DNS を使用します。内部ユーザーは ADFS == IWA に直接アクセスします。外部ユーザーは WAP = FBA に直接アクセスします。
当社の製品は Java ベースで、Spring フレームワークを使用しています
Spring SAML を使用する
デスクトップの場合、問題があります。SAML はブラウザーのリダイレクトに依存しているため、組み込みブラウザーなどが必要です。OpenID Connect / OAuth (REST API) を使用できますが、そのようなサポートがない ADFS 2.0 で質問にタグを付けました。
Windows の世界 (WPF、C# 経由のコンソールなど) では、デスクトップは WCF 経由で ADFS に接続します。
Java アプリの場合、Spring MVC にはspring-webmvc-pac4jを使用するか、J2E フィルターのみを使用するj2e-pac4j (または最悪の場合: Spring Security を使用するspring-security-pac4j ) + ADFS にはpac4j-saml + 必要に応じてpac4j-oauthを使用する必要があります。 OpenID Connect プロトコルを使用する場合は、OAuth プロトコル + pac4j-oidcを使用します。
pac4jを使用すると、複数のプロトコルをサポートするのがはるかに簡単になり、一貫性が保たれます。