Soporta tanto existente de inicio de sesión de autenticación de formularios y SSO web federado

Question

Estamos teniendo una aplicación web alojado y utiliza la autenticación de formularios. Esta aplicación web se accede a los usuarios pertenecen a diferentes organizaciones asociadas. Actualmente los usuarios pertenecen a las organizaciones asociadas están accediendo a la aplicación utilizando las credenciales que darle a ellos.

Ahora, algunas organizaciones asociadas quiere que sus usuarios acceder a la aplicación utilizando sus credenciales de Active Directory. Estamos planeando utilizar ADFS para estas organizaciones asociadas, por lo que los usuarios se autentican mediante Active Directory dentro de su red y las reclamaciones serán enviados a la aplicación de web a través de la cookie de autenticación símbolo establecido por la AD FS. De las reclamaciones, analizamos los usuarios a los userIds internos de la aplicación web.

Mis preguntas son, si hacemos la aplicación web habilitada para AD FS, 1) ¿Es posible todavía permitir que los otros usuarios de la organización socio (que no quieren usar AD FS) para acceder a la aplicación web con la página de inicio de sesión existente (autenticación de formularios)? 2) En caso de tener acceso a todas las páginas de la aplicación web habilitado para AD FS a través de https?

Cualquier soluciones o punteros sería muy apreciada.

Gracias -arul

Answer 1

Su aplicación necesita para exigir reivindicaciones que describen el usuario, independientemente de dónde se conectan a. No debe manejar la autenticación en cualquiera de los casos; esto debe ser delegada a un emisor de confianza, un STS. Esto permitirá que interactúe w / usuarios de manera uniforme independientemente de dónde y cómo se autentican. Esto significa que usted va a necesitar usar AD FS en dos funciones: la de un proveedor de identidad (IP) y STS de un Proveedor Federación STS (FP). Para los usuarios de las empresas asociadas que no quieren mantener los propios usuarios, podrás IP-STS; para aquellos que lo hacen, usted será un FP-STS. En este último caso, AD FS se redirigir a los usuarios de su ámbito de vuelta al sitio del socio donde su IP-STS autenticaremos ellos y enviarlos a la FP-STS. Se trazará un mapa de ID de usuario y las reclamaciones de su pareja en los que tienen sentido en su reino. Esta y otra información sobre el usuario será incluido en el juego de reivindicaciones que se emiten desde sus FP-STS. Como resultado de ello, su aplicación, sólo se confía en sus STS independientemente de cuál es el escenario apropiado para diferentes usuarios. Nótese que en este scenerio, habrá dos STS: su ADFS FP-STS y de su pareja STS de IP, que puede o no puede ser AD FS. En el otro caso, sólo habrá uno STS:. Su IP-STS

No todas las páginas de su aplicación web AD FS se necesita acceder a través de HTTPS; Sin embargo, todo el mundo que se utiliza en el proceso de autenticación debe ser.

Esto es realmente una tarea no trivial. Si quiere hablar de ello más, no dude en ponerse en contacto w / me .