首先设置ADFS SSO需要采取什么方法 [英] What approach to take for first setting up ADFS SSO

问题描述

我是ADFS的新手，正在寻找一些大方向： 

I am new to ADFS and am looking for some general direction: 

为了实施SSO，我正在考虑以下两种方法之一：

For implementing SSO, I am considering one of two approaches:

1。将声明感知的Web应用程序设置为链接到其他Web应用程序的登录页面。 从经过身份验证的用户角色中抽取，并仅显示适用于他的网络应用，然后传递他们从此着陆页中选择的特定声明感知网络应用

1. set up a claims aware web application as a landing page to link to other web applications.  Draw from the authenticated user's roles, and only display the web apps that are applicable to him, then pass the specific claims aware web app that they choose from this landing page

。 ..或...

2。设置一个声明感知的Web服务，每个Web应用程序都必须调用

2. set up a claims aware web service, that each web application will have to call

一个优于另一个的任何好处？

Any benefits to one over the other?

推荐答案

在（1）的情况下，您将点击声明感知Web应用程序并重定向到AD FS进行登录。所有其他Web应用程序都需要是您的AD FS配置中的依赖方，以便您可以在提到
时从经过身份验证的用户角色中提取，以根据"登录页面"中发布的声明填充允许/授权的内容。应用程序。我从来没有尝试过这个，但我怀疑这是可能的。

In the case of (1) you'll hit the claims aware web application and get redirected to AD FS for logon. All other web apps would need to be relying parties in your AD FS configuration so that you can draw from the authenticated user roles as you mentioned to populate what is allowed/authorized based upon issued claims in the "landing page" app. I've never tried this, but I suspect it's possible.

在我看来，声称感知的网络服务是正常的ADFS术语，因为  SSO假设使用一个浏览器。但是，您可以通过Web应用程序通过ActAs将令牌委托给Web服务。

In my mind, a claims aware web service is a non-sequitur, in normal ADFS terms, because SSO assumes the use of a browser. You can however delegate a token via a web app to a web service via ActAs.

这篇关于首先设置ADFS SSO需要采取什么方法的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！