SSO (Single Sign-on) и ADFS (службы федерации Active Directory) с Ruby On Rails

Question

Я пытаюсь понять, как интегрировать SSO (Single Sign-on) и ADFS (службы федерации Active Directory) в существующий Ruby В приложении Rails, размещенном в среде linux, обслуживаемой nginx.

Учитывая партнера (компания с использованием Active Directory записи) и поставщика услуг (приложение рельсы).

Похоже, что веб-сервер поставщика услуг должен запустить веб-агент ADFS, который будет обрабатывать процесс аутентификации с партнером и в конечном итоге перенаправить пользователя в приложение rails с токеном, которое будет использоваться для идентификации пользователя в приложении.

Моя главная забота об этом ADFS Web Agent:

Могу ли я правильно понять, что он должен быть запущен на стороне поставщика услуг? (меня не интересует сторона партнера). Если да, то каким будет наилучший способ интеграции ADFS SSO с нашим приложением, которое обслуживается nginx в операционной системе Linux? Нужен ли мне сервер Windows с сервером федерации?

Заранее благодарю за помощь!

Answer 1

ADFS обрабатывает два протокола - WS-Fed и SAML. ADFS 3.0 обрабатывает грант авторизационного кода в OAuth 2.0 (но не OpenID Connect),

Итак, чтобы получить приложение Rails. чтобы поговорить с ADFS, он должен поддерживать один из этих протоколов.

Если это возможно, нет необходимости в каком-либо другом сервере.

Возможно, что-то вроде ruby-saml.

Посмотрите здесь: SAML 2.0 SSO for Ruby on Rails?

Другой подход заключается в использовании OAuth/REST, чтобы получить какой-то промежуточный сервер федерации, а затем SAML/WS-Fed из другой стороны.

Auth0 и Ping-Federate поддерживают такой подход.

Answer 2

Если вы используете OmniAuth или, если вы можете использовать его взглянуть на это: https://github.com/highgroove/omniauth-saml-rstr

Answer 3

Прочитано this Отличная почта. Практично и понятно.