1. Zuhause
  2. Frage und Antwort
  3. Implementieren der Einzelanmeldung mit ADFS

Implementieren der Einzelanmeldung mit ADFS

2016-08-16 4 views
1

Ich bin neu in der ADFS/SSO-Welt und arbeite derzeit an einer Funktion zur Implementierung von Single Sign On (SSO) mit AD FS für unsere Java-basierte Webanwendung und Windows-Agent.Implementieren der Einzelanmeldung mit ADFS

Im Folgenden sind unsere Forderung:

  1. Benutzer automatisch (Ohne fragen für Benutzername/Passwort) angemeldet werden sollen, um unsere Fenster Mittel, wenn sie in ihr System, ihre Domain-Anmeldeinformationen angemeldet haben.
  2. Die Lösung sollte funktionieren, auch wenn sie außerhalb des Firmennetzwerks sind

ich im Internet gelesen haben, aber die Dinge sind immer noch verwirrend. Ich habe folgende Fragen:

  1. Wird Kerberos basierte Authentifizierung meiner Anforderung gerecht?
  2. Kann es mit AD FS integriert werden? Damit die Lösung funktioniert, auch wenn der Benutzer nicht im Firmennetzwerk ist?
  3. Oder gibt es andere Lösungen? Unser Produkt ist Java-basiert und verwendet Spring-Framework.

Vielen Dank im Voraus, Praveen

Quelle

2016-08-16 Praveen

Antwort

2

Benutzer sollten Dies funktioniert, wenn der Browser funktionieren sollte

Die Lösung für IWA richtig konfiguriert ist automatisch

angemeldet sein, auch wenn Sie befinden sich außerhalb des Unternehmensnetzwerks

Nein - Kerberos funktioniert nicht, daher müssen Sie FBA verwenden

Kann es mit AD FS integriert werden? Damit die Lösung funktioniert, auch wenn der Benutzer nicht im Firmennetzwerk ist?

Ja - Sie müssen auch ADFS WAP installieren. Verwenden Sie Split-DNS. Interne Benutzer verweisen direkt auf ADFS == IWA. Externe Benutzer verweisen direkt auf WAP = FBA.

Unser Produkt ist Java-basiert und verwendet Spring-Framework

Verwenden Frühling SAML

Für Desktop, Sie haben ein Problem. SAML ist auf Browser-Weiterleitungen angewiesen, sodass Sie einen eingebetteten Browser benötigen. Sie könnten OpenID Connect/OAuth (REST API) verwenden, aber Sie haben die Frage mit ADFS 2.0 versehen, das keine solche Unterstützung bietet.

In der Windows-Welt (WPF, Konsole über C# etc.) verbindet sich Desktop über WCF mit ADFS.

Quelle

2016-08-16 19:36:11 nzpcmad

+0

Danke für Ihre Antwort. Aber kann ich es auch für Windows-Desktop-Anwendung verwenden? – Praveen

+0

Okay. Kann ich ADFS 3 + OAuth verwenden und Web- und Client-SSO erreichen? Gibt es ein beliebtes Java/Spring-Plugin für dasselbe? – Praveen

+0

Nein - ADFS 3.0 unterstützt nur OAuth für Webapi und hat keine OpenID Connect-Unterstützung. Sie benötigen ADFS 4.0 (Server 2016) - im September. – nzpcmad

2

Tatsächlich können in ADFS 2016 mit verbundenen Windows 10-Geräten auch Azure AD registriert sein. Beim Zurückschreiben des Geräts gibt es ein SSO-Artefakt von ADFS, das in die Windows 10-Desktopanmeldung integriert ist. In dieser Welt erhalten Sie auch Desktop-SSO aus dem Extranet.

Quelle

2016-08-16 23:24:45

+0

kann das ohne AAD passieren, ich habe eine ähnliche Situation der Client ist eine .net-Anwendung (läuft auf Win7/8/10-Domäne trat Maschine im Intranet) und Server ist Java (Tomcat) Extranet. Kann ich WIF auf Client und Spring saml verwenden, damit dies funktioniert? – amritanshu

1

Für Ihre Java-Anwendung, Sie spring-webmvc-pac4j für Spring MVC oder j2e-pac4j mit nur J2E Filter (oder im schlimmsten Fall: spring-security-pac4j mit Spring Security) verwenden sollte + pac4j-saml für ADFS + pac4j-oauth wenn das OAuth-Protokoll + pac4j-oidc verwenden möchten, wenn Sie wollen Verwenden Sie das OpenID Connect-Protokoll.

Die Verwendung von wird viel einfacher und konsistent sein, um mehrere Protokolle zu unterstützen.

Quelle

2016-08-17 07:38:52 jleleu

Verwandte Themen

 Verwandte Themen