我可以使用ADFS將自定義網站作爲Idp使用

Question

我正在開發一個可以鏈接到其他應用程序的Portal Style應用程序（使用asp.net/mvc）。我正在考慮使用ADFS和後臺AD進行身份驗證。我想爲門戶和這些單獨的應用程序啓用單點登錄。這些單獨的應用程序（某些和Java以及Ruby中的一個）將信任ADFS，並可以接收SAML令牌進行身份驗證。

用戶必須登錄到此門戶應用程序，因爲用戶已經登錄到門戶網站，所以指向門戶中其他應用程序的鏈接將無縫工作。實質上，我的門戶是身份提供者。這種情況可能與ADFS？

Answer 1

是的，這是可能的。但是，您的問題中的術語不完全正確：您的門戶應用程序不會是身份提供者，而是AD FS。

會發生什麼如下：

• 用戶瀏覽門戶應用程序。
• 門戶應用程序重定向到AD FS。
• 用戶使用表單或NTLM或其他方式對AD進行無聲或交互式身份驗證，以AD身份驗證。 AD FS是IP/STS，即身份提供者。 此操作是單點登錄。作爲迴應，AD FS將「AD FS cookie」發送回瀏覽器。
• AD FS還使用安全令牌重定向回門戶應用程序。
• 門戶應用程序將其主頁與「門戶cookie」一起發送到瀏覽器。作爲這個主頁的一部分，它將應用程序X的'主頁'發送到瀏覽器。

現在大多是歷史重演，點對點：

• 瀏覽器檢索應用X主頁。
• 應用程序X重定向到AD FS。
• 瀏覽器向AD FS發送'AD FS cookie'，AD FS向AD FS證明用戶的身份。 此時不發生登錄。
• AD FS使用新的安全令牌重定向迴應用程序X.
• 應用程序X將其「主頁」與「應用程序X cookie」一起發送到瀏覽器。

當對門戶應用程序或應用程序X進行回訪時，瀏覽器會發送'入口cookie'或'應用程序X cookie'。該應用程序識別該cookie，並且不再將瀏覽器重定向到AD FS。所以與AD FS的對話只會在應用程序啓動時發生，每個應用程序都會啓動一次。