Windows Identity Foundation でユーザーを認証する ASP.NET Web アプリを構築しています。
組織にはオンプレミスの ADFS STS があります。Office365 は、オンプレミス STS を使用して Microsoft フェデレーション ゲートウェイを介して認証します。新しい Web アプリは、WIF を使用してオンプレミス STS に対しても認証します。
新しいアプリと Office365 環境の間でサイレント シングル サインオンを確立できますか? そのため、ユーザーは一度 Web アプリにログインすれば Office365 にログインする必要はなく、その逆も同様です。
はい、ASP.NET アプリケーションを Office365 と直接フェデレーションすることで、これを実現できるはずです。おそらく既にご存じのとおり、通常、これが機能する方法は、Office365 をオンプレミスの AD に同期させ、オンプレミスの ADFS サーバーで信頼を設定することです。Web アプリケーションにサインインすると、ユーザーは Office365 にリダイレクトされ、UPN (通常は電子メール アドレス) を入力します。Office365 はそれを使用して、どのオンプレミス ADFS サーバーにリダイレクトするかを判断します。
ドメイン内からログオンしている場合は、Windows 統合認証を介してすぐに認証されます。ADFS はユーザーを Office365 にリダイレクトしてセッションを確立し、Office365 はユーザーをアプリケーション自体にログインさせます。ドメイン外にいる場合は、ADFS 外部プロキシを設定する必要があります。そこでは、Windows 統合認証の代わりに、この特別な ADFS プロキシがユーザーに企業の資格情報を要求し、以前と同じ方法で Office365 にリダイレクトします。
これは、これらすべてをより詳細に説明する素晴らしいホワイトペーパーです。