シナリオ: ユーザーは汎用ワークステーションを使用しており、ADFS 2.0 を使用してフェデレーションされたサードパーティ アプリケーションにアクセスする必要があります。ユーザーが Web サイトにアクセスすると、ワークステーションにログインしている汎用ユーザーを使用して自動ログインが試行されます。汎用ユーザーにはこのアプリケーションへのアクセス権がありません。
そこで、ADFS がユーザーに資格情報の入力を求めるようにしたいと思います。それは可能ですか? ADFS が自動ログインを試み、入力が求められない場合はプロンプトを表示するようにできますか?
ありがとう!GK
答え1
ADFS に自動ログインを試みさせ、自動ログインできない場合はプロンプトを表示することはできますか?
いいえ、ADFS にはこのようなフォールバック メカニズムはありません。さらに、ここでは「自動ログイン」は実際に正しく動作しています。問題は、ユーザーが必要なアカウントを使用して認証されていないことです。2 つのオプションがあります。
ユーザーに、IE ショートカットで「Shift キーを押しながら右クリックして別のユーザーとして実行」するように指示します -> ユーザーは自分の資格情報を使用して IE を開きます -> ADFS は、汎用アカウントではなく、ユーザーのアカウントを使用してユーザーを認証します。
サードパーティ アプリがユーザーを ADFS にリダイレクトする場合、クエリ文字列に追加のパラメータを追加する必要があります。wauth=urn:oasis:names:tc:SAML:1.0:am:passwordこれにより、web.config で何が構成されているかに関係なく、ADFS はフォームベースの認証を使用するようになります。
この 2 番目の解決策の問題点は、すべてのユーザーに影響することです。サードパーティ アプリに、リクエストが汎用ワークステーションから送信されているかどうかを確認する方法があるかどうかはわかりません。確認できる場合は、パラメータを追加するときにフィルター処理できます。