Szenario: Der Benutzer befindet sich an einer generischen Workstation und muss auf eine Drittanbieteranwendung zugreifen, die mithilfe von ADFS 2.0 föderiert ist. Wenn der Benutzer auf die Website zugreift, wird versucht, sich automatisch mit dem generischen Benutzer anzumelden, der bei der Workstation angemeldet ist. Generische Benutzer haben keinen Zugriff auf diese Anwendung.
Wir möchten also, dass ADFS versucht, den Benutzer zur Eingabe seiner Anmeldeinformationen aufzufordern. Ist das möglich? Können wir ADFS eine automatische Anmeldung versuchen lassen, und wenn dies nicht der Fall ist, dann eine Aufforderung?
Danke! GK
Antwort1
Können wir ADFS eine automatische Anmeldung versuchen lassen, und wenn dies nicht gelingt, eine Aufforderung dazu?
Nein, diese Art von Fallback-Mechanismus haben Sie mit ADFS nicht. Außerdem funktioniert „Autologin“ hier tatsächlich einwandfrei. Das Problem ist, dass Ihre Benutzer nicht mit dem gewünschten Konto authentifiziert werden. Ich sehe zwei Möglichkeiten:
Sie sagen Ihren Benutzern, dass sie auf der IE-Verknüpfung „Umschalt + Rechtsklick + Als anderer Benutzer ausführen“ drücken sollen -> sie öffnen den IE mit ihren eigenen Anmeldeinformationen -> ADFS authentifiziert sie mit ihrem Konto, nicht mit dem allgemeinen Konto.
Wenn Ihre Drittanbieter-App den Benutzer zu ADFS weiterleitet, muss sie der Abfragezeichenfolge einen zusätzlichen Parameter hinzufügen:wauth=urn:oasis:names:tc:SAML:1.0:am:password. Dadurch wird ADFS gezwungen, eine formularbasierte Authentifizierung zu verwenden, unabhängig davon, was in der Datei „web.config“ konfiguriert ist.
Das Problem bei dieser zweiten Lösung ist, dass sie alle Benutzer betrifft. Ich weiß nicht, ob die Drittanbieter-App erkennen kann, ob die Anfrage von einer allgemeinen Workstation kommt. Wenn ja, können Sie beim Hinzufügen des Parameters filtern.