在 AD 中处理帐户的正确方法是为不同的应用程序提供 SSO

【问题标题】:The right way to handle accounts in AD to have SSO for different applications在 AD 中处理帐户的正确方法是为不同的应用程序提供 SSO
【发布时间】:2018-10-15 07:01:31
【问题描述】:

如果您有 4 个应用程序要使用 ADFS 的 OpenID Connect 令牌保护它们,那么 SSO 将如何工作?

这 4 个应用程序没有用户注册,但是它们需要来自 IdP (ADFS) 的不同声明。您是否需要为每个用户创建 4 个不同的用户帐户才能登录所有 4 个应用程序?

如果每个用户需要 4 个不同的用户帐户,那么用户是否需要先从 app_1 注销,然后再登录 app_2?

感谢您的各种建议。

【问题讨论】:

    标签: active-directory single-sign-on identity openid-connect adfs4.0


    【解决方案1】:

    假设每个应用程序在 OIDC 模式下从 ADFS 接收一个 ID 令牌,那么作为该 ID 令牌一部分的每个应用程序都可以访问主题/用户 ID,并且可以将该 ID 令牌交换为用户配置文件。作为 OIDC OP 运行的 ADFS 需要配置为为每个应用程序发布正确的声明,当然每个应用程序都应该在初始身份验证时请求适当的所需范围,以便 ADFS 可以授予所需的声明。

    每个应用程序都会收到一个 ID 令牌,并开始建立与该用户相关的自己的会话。由于应用程序会话独立于 SSO 会话,因此如果您需要实现单点注销,则需要协调一致的工作。

    【讨论】:

    • 谢谢 MIsagh,我有点困惑。我是否需要在 AD 中为每个应用程序创建 4 个不同的帐户?或者你的意思是在应用程序检索到 Subject (userID) 之后,它可以向 ADFS 请求所需的声明,并且不需要帐户?
    • 这个:应用程序检索到Subject(userID)后,可以向ADFS索取所需的声明,不需要帐户?
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2018-11-22
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-12-29
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode