使用ADFS实施单点登录
[英]Implementing Single Sign on using ADFS
问题描述
我是ADFS / SSO领域的新手,目前正在研究使用AD FS为基于Java的Web应用程序和Windows本机代理实现单点登录(SSO)的功能。
以下是我们的要求:
- 如果用户已使用域凭据登录到系统,则应自动登录Windows代理(无需输入用户名/密码)。
- 该解决方案即使在公司网络之外也应该有效
我一直在互联网上阅读,但情况仍然令人困惑。 我有以下问题:
- 基于kerberos的身份验证是否适合我的要求?
- 可以与AD FS集成吗? 这样,即使用户不在公司网络中,该解决方案也能正常工作?
- 还是有其他解决方案? 我们的产品基于Java,并使用Spring框架。
在此先感谢,Praveen
3 个解决方案
解决方案1
3 2016-08-16 19:36:11
用户应自动登录
如果为IWA正确配置了浏览器,这将起作用
该解决方案即使在公司网络之外也应该有效
否-Kerberos无法使用,因此您必须使用FBA
可以与AD FS集成吗? 这样,即使用户不在公司网络中,该解决方案也能正常工作?
是的-您还需要安装ADFS WAP。 使用拆分DNS。 内部用户直接访问ADFS == IWA。 外部用户直接转到WAP = FBA。
我们的产品基于Java,并使用Spring框架
使用Spring SAML
对于台式机,您有问题。 SAML依赖于浏览器重定向,因此您需要嵌入式浏览器或其他工具。 您可以使用OpenID Connect / OAuth(REST API),但已使用不支持此功能的ADFS 2.0标记了该问题。
在Windows世界(WPF,通过C#等的控制台)中,桌面通过WCF连接到ADFS。
解决方案2
2 2016-08-16 23:24:45
实际上,在Windows 10域加入设备的ADFS 2016中,它们也可以通过Azure AD注册。 借助设备的写回操作,ADFS中提供了一个SSO工件,该工件已集成到Windows 10桌面登录中。 在这个世界上,您还将从Extranet获得桌面SSO。
解决方案3
1 2016-08-17 07:38:52
对于Java应用程序,应将Spring - MVC的spring-webmvc-pac4j或仅具有J2E过滤器的j2e-pac4j (或最糟糕的是,具有Spring Security的spring-security-pac4j )和pac4j-saml用于ADFS + pac4j-oauth如果要使用OpenID Connect协议,请使用OAuth协议+ pac4j-oidc 。
使用pac4j将更加容易且一致,以支持多种协议。
使用ADFS单一登录
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.