我在公司内部创建了一个网站,利用我们的活动目录服务器进行身份验证。我担心使用"本地主机"域设置信赖方的安全性。
我几乎遵循了本指南的设置。您会注意到,在页面的一半,有一个步骤是设置开发环境,localhost:44336作为信赖方。
我担心有人可以轻松获取我们的联合元数据文档的位置,并使用相同的端口简单地推出自己的项目并访问我们的活动目录。这是一个合理的担忧,还是我什么都不担心?在此配置中必须使用本地主机的更好选择是什么?
是的,它很安全。元数据文档仅描述有关终结点以及活动目录正在颁发的令牌的信息。它本身没有任何敏感的东西。
实际的身份验证仍将由AD处理,除非好奇的用户已经有办法成功针对您的AD进行身份验证,否则他连接到该文档是没有用的。
他们可能会创建使用您的身份验证协议的应用程序吗?当然可以,但是如果没有人可以真正对其进行身份验证,那又有什么意义呢?允许这种行为发生是 ADFS 的要点之一。