Правильный способ обработки учетных записей в AD для обеспечения единого входа для разных приложений

Как работает SSO, если у вас есть 4 приложения, которые вы хотите их защитить, используя токен OpenID Connect из ADFS?

Эти 4 приложения не имеют регистрации пользователей, однако им нужны разные требования от IdP (ADFS). Вам нужно создать 4 разных пользовательских аккаунта для каждого пользователя, чтобы иметь возможность войти во все 4 приложения?

Если вам нужно 4 разных пользовательских аккаунта для каждого пользователя, нужно ли пользователю сначала выйти из приложения_1 и войти в систему на app_2?

Я ценю все советы.

6
04 мая '18 в 21:11
источник поделиться
1 ответ

Предполагая, что каждое приложение получает идентификатор ID из ADFS в режиме OIDC, каждое приложение как часть этого идентификатора ID будет иметь доступ к идентификатору субъекта/пользователя и может обменивать этот токен идентификатора для профиля пользователя. ADFS, работающая под OIDC OP, должна быть настроена на выпуск правильных требований для каждого приложения, и, конечно же, каждое приложение должно запрашивать необходимые необходимые области при первоначальной аутентификации, чтобы ADFS могла предоставить требуемые требования.

Каждое приложение получает токен идентификатора и начинает устанавливать свой собственный сеанс, привязанный к этому пользователю. Поскольку сеансы приложений не зависят от сеансов единого входа, вам требуется скоординированное усилие, если вам нужно реализовать одиночный выход из системы.

6
07 мая '18 в 23:37
источник

Посмотрите другие вопросы по меткам или Задайте вопрос