Bisakah ADFS terhubung ke layanan SSO lainnya?


8

Saya memiliki aplikasi .net yang terhubung ke server ADFS lokal saya (terhubung ke server AD perusahaan kami) dan semuanya bekerja dengan baik. Pertanyaan saya adalah, bisakah ADFS saya membuat koneksi tepercaya ke layanan SSO tambahan di internet seperti Azure AD, AWS, login Google, Facebook, Twitter, OpenID, dll. Sehingga aplikasi saya dapat menggunakan klaim dari berbagai sumber tepercaya selain dari saya Aktifkan Direktori?


1
Saya tidak pernah menggunakannya tetapi bukankah ADFS merupakan implementasi SAML2 lengkap?
user1686

Jawaban:


10

Saya sudah melakukan ini. Dalam model kami, kami memiliki tiga set pengguna:

  1. Pengguna internal mengautentikasi melalui Active Directory (Kerberos atau NTLM) terhadap instance AD ​​FS lokal. Dalam set ini, server AD FS berjalan sebagai IdP.

  2. Pengguna eksternal mengautentikasi melalui Active Directory (Kerberos atau NTLM) terhadap instance dan domain AD FS mereka sendiri. Dalam set ini, AD FS Server memiliki Trust Penyedia Klaim yang dikonfigurasikan ke server AD FS yang menerbitkan. Server AD FS kami beroperasi sebagai SP-STS dengan mengubah dan memvalidasi klaim yang dikeluarkan di tempat lain, dan menerbitkan kembali token tepercaya untuk aplikasi kami. IdP adalah server AD FS domain lain, tempat server AD FS kami dikonfigurasi sebagai pihak yang mengandalkan.

  3. Pengguna eksternal tanpa login perusahaan. Pengguna ini mengautentikasi ke .Net STS kecil yang dikonfigurasi sebagai Trust Penyedia Klaim di server AD FS kami. (Kami juga mempertimbangkan - dan secara teknis mudah - untuk menggunakan Azure Active Directory B2C untuk peran ini, tetapi masalah lain mencegahnya.)

Token dikeluarkan sebagai: Penggambaran penerbitan token

Untuk membuatnya transparan bagi pelanggan kami, kami menggunakan rentang IP untuk mendeteksi (melalui nginx) dan mengarahkan ke AD FS perusahaan yang sesuai - dan sebaliknya bergantung pada halaman HRD AD FS standar.


Otentikasi ke AD melalui NTFS, seperti dalam Sistem File NT?
KDEx

1
Thats mungkin bermaksud mengatakan NTLM
eckes

5

Tampaknya merantai pihak yang bergantung memang mungkin. Orang ini telah menulis serangkaian posting tentang itu, ini dia. Anda dapat menggunakan ADFS sebagai "hub" aplikasi Anda untuk melawan, dan itu akan mengaitkan permintaan kembali ke layanan mana pun identitas pengguna sebenarnya tinggal.

https://cloudidentityblog.com/2013/06/17/why-use-aad-as-idp-via-ad-fs-rp/

Saya belum melakukan ini sendiri, jadi saya tidak yakin berapa banyak pekerjaan ini dan apa jebakannya. Saya yakin Anda dapat mengalami masalah jika pengguna tinggal di lebih dari satu IdP.

Jangan lupa, tidak ada yang mencegah Anda dari menulis aplikasi .NET untuk dapat memanfaatkan beberapa penyedia SSO secara alami.


5

Ya bisa.

Masing-masing IDP eksternal ini ditambahkan sebagai penyedia klaim di ADFS dan di sisi IDP, ADFS ditambahkan sebagai Pihak yang Mengandalkan.

Saat Anda mengautentikasi, ADFS akan menampilkan layar Home Realm Discovery yang mencantumkan semua IDP.

Anda kemudian memilih yang mana yang ingin Anda gunakan.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.