.png)
昨日、ADFS を使用してクロスドメイン認証を確立できるかどうか尋ねられました。
シナリオ:
- 信頼構成のない 2 つの異なる Windows ドメイン (A と B)
- ドメイン間のネットワーク アクセスは IPSec Site2Site で確立されます (すべてのポートを個別に開く必要があります)
- ドメイン A のサーバー上の特定の Windows サービスは、ログオンにドメイン B の AD アカウントを使用する必要があります (Windows サービス -> ログオン -> このアカウント -> ドメイン B のアカウント)
弊社のパートナーは、セキュリティ上の理由からドメイン信頼を確立したくないため、ADFS を通じてこの認証プロセスを実現できるかどうかを尋ねています。
ADFS は私にとってまったく新しいものであり、このシナリオが ADFS でも可能かどうかはわかりません。
答え1
ドメインの信頼がなければこれは不可能です。
ADFS を使用すると、アプリケーションは AD (または別の ID プロバイダー) に直接アクセスせずに認証できますが、アプリケーションはこの認証方法を明示的にサポートする必要があります。Windows
ログオンではサポートされません。Windows
システムにログオンするには、次のいずれかを行う必要があります。
- ローカルユーザーアカウントを使用してログインする
- システムが参加しているドメインのユーザーアカウントを使用してログインします
- 信頼できるドメインのユーザーアカウントを使用してログインする
答え2
@Massimo の回答に追加すると、クライアント資格情報フローで OpenID Connect を使用するように Windows サービスを変更できれば (つまり、ユーザーではなくサービスなので明示的なログオンは必要ありません)、これは機能します。
もう 1 つのオプションは、サービスが旧式の WS-Trust (つまり WCF) を使用することです。
これらは両方とも ADFS によってサポートされています。