使用Ruby On Rails的SSO（單點登錄）和ADFS（Active Directory聯合服務）

Question

我想了解如何將SSO（單點登錄）和ADFS（Active Directory聯合服務）集成到現有的Ruby在由nginx提供服務的Linux環境中託管Rails應用程序。

考慮夥伴（使用Active唱片目錄的公司）和服務提供商（Rails應用程序）。

似乎服務提供商Web服務器必須運行ADFS Web代理，該代理將處理與合作伙伴的身份驗證過程，並最終將用戶重定向到帶有令牌的Rails應用程序，該聲明將用於標識用戶在應用程序中。

我主要關心的是這個ADFS Web代理：

我是否理解正確，它必須在服務提供商側運行？（我對合作夥伴不感興趣）。如果是這樣，將ADFS SSO與我們的應用程序（由nginx在Linux操作系統上）集成的最佳方式是什麼？我需要運行聯合服務器的Windows服務器嗎？

非常感謝您的幫助！

Answer 1

ADFS能處理兩個協議 - WS-美聯儲和SAML。 ADFS 3.0處理OAuth 2.0（但不是OpenID Connect）中的授權代碼授權，

因此獲得您的Rails應用程序。要與ADFS交談，它需要支持其中一種協議。

如果可以這樣做，則不需要任何其他服務器。

也許就像ruby-saml。

看吧：SAML 2.0 SSO for Ruby on Rails?

的另一種方法是使用OAuth/REST去一些中間聯合服務器，然後SAML/WS-送出的另一邊。

Auth0和Ping-Federate支持這種方法。

Answer 2

如果您正在使用omniauth或者，如果你能使用它來看看這個：https://github.com/highgroove/omniauth-saml-rstr

Answer 3

閱讀this優秀的職位。實用和清晰。