使用ADFS實施單點登錄
[英]Implementing Single Sign on using ADFS
問題描述
我是ADFS / SSO領域的新手,目前正在研究使用AD FS為基於Java的Web應用程序和Windows本機代理實現單點登錄(SSO)的功能。
以下是我們的要求:
- 如果用戶已使用域憑據登錄到系統,則應自動登錄Windows代理(無需輸入用戶名/密碼)。
- 該解決方案即使在公司網絡之外也應該有效
我一直在互聯網上閱讀,但情況仍然令人困惑。 我有以下問題:
- 基於kerberos的身份驗證是否適合我的要求?
- 可以與AD FS集成嗎? 這樣,即使用戶不在公司網絡中,該解決方案也能正常工作?
- 還是有其他解決方案? 我們的產品基於Java,並使用Spring框架。
在此先感謝,Praveen
3 個解決方案
解決方案1
3 2016-08-16 19:36:11
用戶應自動登錄
如果為IWA正確配置了瀏覽器,這將起作用
該解決方案即使在公司網絡之外也應該有效
否-Kerberos無法使用,因此您必須使用FBA
可以與AD FS集成嗎? 這樣,即使用戶不在公司網絡中,該解決方案也能正常工作?
是的-您還需要安裝ADFS WAP。 使用拆分DNS。 內部用戶直接訪問ADFS == IWA。 外部用戶直接轉到WAP = FBA。
我們的產品基於Java,並使用Spring框架
使用Spring SAML
對於台式機,您有問題。 SAML依賴於瀏覽器重定向,因此您需要嵌入式瀏覽器或其他工具。 您可以使用OpenID Connect / OAuth(REST API),但已使用不支持此功能的ADFS 2.0標記了該問題。
在Windows世界(WPF,通過C#等的控制台)中,桌面通過WCF連接到ADFS。
解決方案2
2 2016-08-16 23:24:45
實際上,在Windows 10域加入設備的ADFS 2016中,它們也可以通過Azure AD注冊。 借助設備的寫回操作,ADFS中提供了一個SSO工件,該工件已集成到Windows 10桌面登錄中。 在這個世界上,您還將從Extranet獲得桌面SSO。
解決方案3
1 2016-08-17 07:38:52
對於Java應用程序,應將Spring - MVC的spring-webmvc-pac4j或僅具有J2E過濾器的j2e-pac4j (或最糟糕的是,具有Spring Security的spring-security-pac4j )和pac4j-saml用於ADFS + pac4j-oauth如果要使用OpenID Connect協議,請使用OAuth協議+ pac4j-oidc 。
使用pac4j將更加容易且一致,以支持多種協議。
使用ADFS單一登錄
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.