Сценарий: Пользователь находится на общей рабочей станции и ему нужно получить доступ к стороннему приложению, которое объединено с помощью ADFS 2.0. Когда пользователь заходит на веб-сайт, он пытается автоматически войти в систему, используя общего пользователя, который вошел в рабочую станцию. Общие пользователи не имеют доступа к этому приложению.
Итак, мы хотели бы, чтобы ADFS попытался запросить у пользователя его учетные данные. Возможно ли это? Можем ли мы сделать так, чтобы ADFS попытался выполнить автоматический вход, а если нет, то запросить?
Спасибо! ГК
решение1
Можно ли заставить ADFS попытаться выполнить автоматический вход, если этого не произойдет, то вывести запрос?
Нет, у вас нет такого типа механизма отката с ADFS. Более того, "автологин" на самом деле работает здесь правильно. Проблема в том, что ваши пользователи не аутентифицируются с помощью нужной вам учетной записи. Я вижу 2 варианта:
Вы говорите своим пользователям нажать «Shift + щелчок правой кнопкой мыши + Запуск от имени другого пользователя» на ярлыке IE -> они открывают IE, используя свои собственные учетные данные -> ADFS будет аутентифицировать их, используя их учетную запись, а не общую учетную запись.
Когда ваше стороннее приложение перенаправляет пользователя в ADFS, оно должно добавить дополнительный параметр в строку запроса:wauth=urn:oasis:names:tc:SAML:1.0:am:password. Это заставит ADFS использовать аутентификацию на основе форм, независимо от того, что настроено в web.config.
Проблема со вторым решением в том, что оно повлияет на всех пользователей. Я не знаю, есть ли у стороннего приложения способ узнать, исходит ли запрос от общей рабочей станции; если да, вы можете отфильтровать при добавлении параметра.