1. Inicio
  2. Pregunta y respuesta
  3. ¿Cuál es el mejor enfoque para SSO con usuarios internos de AD y usuarios externos?

¿Cuál es el mejor enfoque para SSO con usuarios internos de AD y usuarios externos?

2011-06-09 32 views
6

Tenemos una aplicación web (asp.net mvc 3) que debe admitir SSO para usos internos a través de AD. También tenemos una gran comunidad de usuarios externos que queremos tener SSO para todas nuestras aplicaciones web. por ejemplo: external_user1 accede a webappA, webappB y webappC, todos con el mismo nombre de usuario. Además, domain \ user1 tiene acceso a las tres aplicaciones web. planeamos usar WIF y ADFS 2.0.¿Cuál es el mejor enfoque para SSO con usuarios internos de AD y usuarios externos?

No quiero tener cuentas de AD para todos los usuarios externos, de modo que en el pasado que podría haber intentado una solución con AD FS 1.x y ADAM. sin embargo, estamos en Windows Server 2008 R2 y ADFS 2.0 no puede usar AD LDS (sucesor de ADAM) para autenticar usuarios.

¿Cuál es el enfoque SSO (utilizando productos de microsoft)?

Fuente

2011-06-09 Steve

+0

Son usando el proveedor de autenticación ASP.NET? – Andrew

Respuesta

5

La cuestión clave es si puede aprovechar almacén de cuentas external_user1 o no. Si puede, entonces solo tendrá que agregar otra relación de confianza entre su ADFS y su STS y ¡listo! Ese enfoque sería ideal, porque entonces ya no necesitaría mantener external_user1. Esencialmente esto:

enter image description here

Si no puede aprovechar ther cuentas de usuario, entonces se puede seguir utilizando AD FS v1.1 y tienen una confianza con usted mismo:

enter image description here

Fuente

2011-06-10 00:26:26

+0

buena respuesta .... –

+0

Nuestros usuarios externos son como los usuarios de Internet públicos y no pertenecen colectivamente a una organización común, por tanto, ninguna tienda cuenta común o pts. También estaríamos obligados por ADFS 2.0 ya que nuestros servidores son 2008 r2. Del mismo modo ADAM es como AD LDS no se puede utilizar como un IP para AD FS 2.0 – Steve

+0

Las 2 preguntas entonces son: ¿Se puede utilizar identidades extrnal como Frode se sugiere (LiveIDs por ejemplo, Facebook, etc). ¿Por qué no instalar ADFS 1.1 en Windows Server 2008? De hecho, ADFS v1.1 ya está incluido en Windows Server 2008. –

1

Además de Responda Eugenios, debe investigar Microsoft Azure ACS. Esto le dará federación de Gooogle, Facebook, Yahoo y otros proveedores OpenId.

Su cadena de autenticación se verá así:

su aplicación -> AD FS -> Active Directory o Su Aplicación -> AD FS -> ACS -> Google.

Busque la etiqueta de AD FS en este sitio, y se pueden encontrar muchos cargos relevantes.

Fuente

2011-06-10 12:28:05

2

Podría no crear un STS personalizado que permita la autenticación en ADAM y que tiene una relación de confianza con la versión 2.0 de AD FS?

Fuente

2011-06-12 19:20:52 nzpcmad

+0

¿Necesitaría ADAM que el STS se conectara a ADFS? Pensé que la última configuración de ADAM podría conectarse directamente. –

+1

AFAIK, ADFS solo puede usar ADAM (AD LDS) directamente como un almacén de atributos para la autorización. No hay forma de conectarse directamente con AD LDS para la autenticación. Necesita el STS personalizado para hacer esto, de la misma manera que StarterSTS usa los roles ASP basados ​​en SQL DB para la autenticación. – nzpcmad

+0

¡Gracias por aclarar eso! –

Cuestiones relacionadas

 Cuestiones relacionadas