單點登錄-為多個組織提供服務（ADFS和Form Auth混合使用）

Question

我想開發一個集中化的應用程序，以便不同的組織用戶可以登錄並在我的站點中執行操作，稍后我將生成報告並提供給每個組織。 我正在維護自己的SQL DB，我將在其中保存所有組織發行者，證書指紋詳細信息等。我能夠根據組織ID動態發送signinRequest。 但是，從帶有令牌的ADFS服務器返回時，我需要在web.config中添加以下詳細信息以驗證令牌。 由於兩個原因，我不想在我的web.config中公開這些詳細信息。 -安全[我需要在配置中包含所有組織的詳細信息，這可能會導致某些欺詐訪問]-性能[如果我有100個將要使用我的應用程序的組織，是否可以在我的配置中配置所有頒發者的權限？ 會不會影響演出]

    <issuerNameRegistry type=”System.IdentityModel.Tokens.ValidatingIssuerNameRegistry, System.IdentityModel.Tokens.ValidatingIssuerNameRegistry”>
   < authority name=”name”>
    <keys>
    <add thumbprint="{Org 1 thumbprint}"/>
    <add thumbprint="{Org 2 thumbprint}"/>
    <add thumbprint="{Org 3 thumbprint}"/>
    </keys>
    <validIssuers>
    <add name="http://test.login.edu/adfs/service/trust&quot;>
    <add name="Org 3 url">
    <add name="Org 4 url">
    <add name="Org 5 url">
    </validIssuers>
    </authority>
    </issuerNameRegistry>

非常感謝您的幫助，謝謝Jeevitha

Answer 1

經過一番研究，我想出了解決方案，它也可以正常工作。

我的網站config中將具有以下設置。 [我的自定義類執行發行人的返回令牌驗證]

 <issuerNameRegistry type="ADFS_Lib.AccessControlServiceIssuerNameRegistry, ADFS_Lib">
      </issuerNameRegistry>

在我的課程中，我將覆蓋IssuerRegistry calss GetIssuerName方法，並在數據庫中驗證返回令牌和頒發者（無論是否已配置）

 public class AccessControlServiceIssuerNameRegistry : IssuerNameRegistry
    {
 public override string GetIssuerName(SecurityToken securityToken, string requestedIssuerName)
        {
//here my DB validation code goes 
}