使用ADFS的自定義身份驗證（非多因素）

Question

我需要一個很好的建議，並想知道一個解決方案是否可行。 現在，我的一位客戶擁有一個通用的登錄應用程序，該應用程序基於使用成員資格提供程序的Forms身份驗證（ASP.NET）。 所有內部用戶都使用其AD憑據登錄，而外部用戶則使用自定義用戶名和密碼。 兩者都通過Forms身份驗證包裝。 現在，新建議是用ADFS代替此Forms身份驗證。 我瀏覽了互聯網上的各種文章，但無法得出結論。 現在，讓我列出我對ADFS擴展點的發現。

1）可以通過https://blogs.technet.microsoft.com/cloudpfe/2013/12/27/how-to-create-a-custom-attribute-中提到的方法向ADFS聲明添加自定義屬性活動目錄聯合會存儲服務3-0 / 。

2）可以通過以下方法添加第二級身份驗證（或多因素身份驗證） ：https://blogs.msdn.microsoft.com/jenfieldmsft/2014/03/24/build-your-own-external-authentication- Windows Server 2012-r2-ad-fs在Windows Server 2012中的提供程序 。 在這里，我了解到在經過AD的第一級身份驗證之后，只有我們的外部提供程序才會出現。

因此，我有一個普遍的問題，那就是使用ADFS確實可以實現我想要的東西。 請告訴我。

Answer 1

這基於用戶帳戶的存儲位置。 如果內部和外部用戶都在AD中，則可以直接重定向到ADFS。

如果內部位於AD中，而外部位於不受信任或其他LDAP源中，則可以使用ADFS 2016鏈接到這兩個帳戶存儲，同時仍將身份驗證卸載到ADFS。

如果在SQL中使用external，則可以使用前面的虛擬目錄將其投影為LDAP存儲（先前的選項），也可以使用IdentityServer。

如果另外還有externs，則需要IdentityServer。

謝謝//薩姆（@MrADFS）

Answer 2

是的-您可以添加自定義屬性存儲。

是的-您可以添加自定義身份驗證器。

更好的方法可能是將thinktecture的IdentityServer 3.0用於ASP.NET身份部分，然后聯合IdentityServer和ADFS。