Роли ADFS из SQL Server

Question

Сценарий: В приложении интрасети ADFS использует AD для аутентификации (хранилище учетных записей) и Sql-сервера для авторизации (роли/хранилище атрибутов).

Роли - это мое собственное приложение. Существуют и другие приложения, которые должны использовать ADFS. Если ADFS настроен на использование моего SQL Server для извлечения ролей, что бы сделали другие приложения? Как они будут управлять своим разрешением?

Правильно ли я понимаю? Если да, подтвердите свой ответ:

Ans: ADFS просто возвращает мне идентификатор AD (SID/Name). Я сопоставляю это с моими ролями сервера sql. Управление ролями должно выполняться моим собственным приложением, подключающимся к серверу Sql. Используйте сеанс, чтобы каждый раз удалять БД для авторизации.

Answer 1

Чтобы избежать столкновения с SQL-сервером для каждой проверки авторизации, вы можете реализовать проверку подлинности на основе утверждений. Используйте хранилище атрибутов SQL, чтобы добавить требования к роли в претензии ID пользователя AD. Полученный в результате запрос билет (SAML) отправляется как куки-файл и не извлекается при каждой проверке подлинности, поскольку он хранится в виде cookie браузером пользователя, доступным для сервера по каждому запросу. Тайм-аут/обновление можно установить путем корректировки билета претензий TTL (время жизни).
Просто предложение ... = o)