0

他のアプリケーションへのリンクを持つポータル スタイル アプリケーション (asp.net/mvc を使用) を開発しています。認証に ADFS とバッキング AD を使用することを考えています。ポータルとこれらの個々のアプリケーションに対してシングル サインオンを有効にしたいと考えています。これらの個々のアプリケーション (Java と Ruby の一部) は ADFS を信頼し、認証用の SAML トークンを受け取ることができます。

ユーザーはこのポータル アプリケーションにログインする必要があります。ユーザーは既にポータルにログインしているため、ポータル内の他のアプリケーションへのリンクはシームレスに機能します。本質的に、私のポータルは ID プロバイダーです。このシナリオは ADFS で可能ですか?

4

1 に答える 1

0

はい、可能です。ただし、質問の用語は完全には正しくありません。ポータル アプリケーションは ID プロバイダーではなく、AD FS になります。

何が起こるかは次のとおりです。

  • ユーザーがポータル アプリケーションを参照します。
  • ポータル アプリケーションが AD FS にリダイレクトされます。
  • ユーザーは、AD に対して、フォームまたは NTLM などを使用して、サイレントまたはインタラクティブに AD FS に対して認証します。AD FS は IP/STS、つまり ID プロバイダーです。 このアクションがシングル サインオンです。 応答として、AD FS は「AD FS Cookie」をブラウザーに送り返します。
  • AD FS は、セキュリティ トークンを使用してポータル アプリケーションにもリダイレクトします。
  • ポータル アプリケーションは、そのホームページを「ポータル Cookie」とともにブラウザに送信します。このホームページの一部として、アプリケーション X の「ホームページ」をブラウザに送信します。

現在、歴史はほとんど繰り返されています。

  • ブラウザーは、アプリケーション X のホームページを取得します。
  • アプリケーション X は AD FS にリダイレクトします。
  • ブラウザは「AD FS cookie」を AD FS に送信します。これにより、ユーザーの ID が AD FS に証明されます。 この時点では、サインオンは発生しません。
  • AD FS は、新しいセキュリティ トークンを使用してアプリケーション X にリダイレクトします。
  • アプリケーション X は、その「ホームページ」を「アプリ X クッキー」とともにブラウザに送信します。

ポータル アプリケーションまたはアプリケーション X に再度アクセスすると、ブラウザは「ポータル Cookie」または「アプリ X Cookie」を送信します。アプリケーションは Cookie を認識し、ブラウザーを AD FS にリダイレクトしなくなります。そのため、AD FS との会話は、アプリケーションの起動時にのみ発生し、アプリケーションごとに 1 つずつ発生します。

于 2011-02-16T18:23:09.477 に答える