Cenário: O usuário está em uma estação de trabalho genérica e precisa acessar um aplicativo de terceiros federado usando ADFS 2.0. quando o usuário acessa o site ele tenta fazer login automaticamente usando o usuário genérico que está logado na estação de trabalho. Usuários genéricos não têm acesso a este aplicativo.
Portanto, gostaríamos que o ADFS tentasse solicitar suas credenciais ao usuário. Isso é possível? Podemos fazer com que o ADFS tente fazer o login automático, se isso não acontecer?
Obrigado! Guarda Geral
Responder1
Podemos fazer com que o ADFS tente fazer o login automático, se isso não acontecer?
Não, você não tem esse tipo de mecanismo de fallback com ADFS. Além disso, o "autologin" está funcionando corretamente aqui. O problema é que seus usuários não são autenticados usando a conta desejada. Vejo 2 opções:
Você diz aos seus usuários para fazerem "Shift + Clique com o botão direito + Executar como um usuário diferente" no atalho do IE -> eles abrem o IE usando suas próprias credenciais -> O ADFS irá autenticá-los usando sua conta, não a conta genérica.
Quando seu aplicativo de terceiros redireciona o usuário para o ADFS, ele deve adicionar um parâmetro adicional na string de consulta:wauth=urna:oasis:nomes:tc:SAML:1.0:am:senha. Isso forçará o ADFS a usar autenticação baseada em formulários, não importa o que esteja configurado no web.config.
O problema desta segunda solução é que ela afetará todos os usuários. Não sei se o aplicativo de terceiros tem como saber se a solicitação vem de uma estação de trabalho genérica; se sim, você pode filtrar ao adicionar o parâmetro.