想象一个内部网,公司内部有许多部门,例如:
\家
....\A分部
....\B分部
....\C分部
....\D分部
。
....\分部
有很多部门 - 大约50个。从本质上讲,每个部门基本上是一个单独的网站。
目前,使用 WIA。
现在,该公司(以Microsoft为中心)希望与其他组织建立 SSO,因此他们决定安装 ADFS v2。
但是,一些部门不喜欢这个想法。
如果我们在基本级别FBUtil web.config,那么整个站点都将受到保护。
为了保护某些部门而不是其他部门,我想我们可以在部门级别为那些需要 ADFS 的部门提供 FBUtil web.config,但这很快就会成为维护噩梦,因为它们太多了。
有没有更好的方法允许 ADFS 跨某些部门,但让某些部门仍然像现在一样进行身份验证。
您应该只能更新根web.config,并使用<location>标签(例如,<location path="DivisionC"><microsoft.identityModel>...</microsoft.identityModel></location>)仅为实际使用WIF的部门/站点指定WIF相关信息。
但是,这仍然会导致该根web.config中的重复;我不知道如何解决这个问题,那将是一个不同的问题。:-)