Использование родительского приложения ADFS для аутентификации нескольких приложений

Question

Я нахожусь на начальных этапах исследования использования ADFS для приложения в качестве партнера по ресурсам (наш клиент запрашивает доступ к нашему сайту).

Моя первоначальная мысль заключается в разработке 1 веб-приложения, которое будет обрабатывать все запросы/аутентификации ADFS, которые затем перенаправляются на одно из наших многочисленных веб-приложений, которые находятся на разных серверах/пулах приложений и т. Д. Идея заключается в том, что только одно приложение необходимо запрограммировать для обработки ADFS, другие могут не знать ADFS и просто обрабатывать общую аутентификацию через запрос. Делает ли то, что я пытаюсь сделать, имеет смысл? Мы пытаемся внедрить ADFS, потому что это то, что наш клиент хочет использовать для доступа к нашим сайтам.

Answer 1

Когда вы настраиваете свое первое приложение (RP1) как Relying Party (RP) в ADFS, после аутентификации ADFS отправляет токен доступа, специфичный для вашего приложения (RP1), на основе настроенных параметров для RP1 (идентификатор токена, претензии (иногда зашифрованные)), подписывание сертификатов и т. д.).
Вы не можете разделить этот токен с другим приложением (например, приложение 2).

Если вы намерены передать аутентификацию из RP1 -> App2, связаны ли ваши веб-приложения? В этом случае вы можете извлечь претензии из токена ADFS (в RP1) и передать его другому приложению (приложение 2).

Будет ли у пользователя когда-либо доступ к ссылке App2 напрямую?
Если пользователь попадает непосредственно URL app2, пользователь не будет перенаправлен на ADFS так ADFS не знает о APP 2.

Таким образом, вы в основном проектировании решения, в котором пользователь всегда будет иметь доступ app2 через RP1 (после Аутентификация ADFS).

Рекомендованный подход будет добавлять APP 2 как полагающуюся сторону ADFS и настроить App2 для обработки токенов ADFS (SAML/WS-FED). Он обеспечивает большую безопасность и гибкость (вам не нужно менять RP1, чтобы вносить изменения в App2).