如果有什么问题或可疑的地方请告诉我。
ADFS 2.0, WIF (WS-Federation):我想在用户首先访问IdP网站进行身份验证的场景中实现单点登录。在这种情况下,我们的客户有内部网门户网站链接到我们的(服务提供商)网站,这实际上引导他们到IdP网站,并在用户身份验证后将他们重定向到我们的网站。我找不到关于如何正确实现它的技术细节的任何信息,有人可以吗?
我到目前为止所做的,我抓住重定向链接到IdP使用提琴提琴使用作为门户链接,看起来像它的工作,但我不确定这是否是一个正确的方式去做。如果你有类似的经历,请分享。
更新:更详细的用例:我们的客户有自己的内部网门户,链接到我们的网站(服务提供商)。这个想法是为了避免额外的初始http重定向,并为不同的客户提供单一入口点,这样我们的网站就可以依靠来自用户的安全令牌来识别客户的身份,在其他情况下,我们应该为任何客户提供单独的uri。用户点击链接,它首先将他引导到自己的内部网IdP服务(ADFS 2.0),该服务使用他的windows帐户对他进行身份验证,并添加安全令牌并将他重定向到我们(依赖方)的网站,我们可以通过令牌识别他和他的组织(客户),他可以使用我们的服务。
正常情况下,通过FedUtil绑定到ADFS的RP URL是ADFS返回的。因此,如果门户绑定到ADFS(听起来不像,因为您不需要登录就可以到达那里?),那么在经过身份验证时,您将返回ADFS。
如果你的网站是什么绑定到ADFS,然后用户去门户网站,点击链接,获得认证,令牌与声明创建和重定向到您的网站。