.png)
Вчера меня спросили, возможно ли организовать кроссдоменную аутентификацию с помощью ADFS.
Сценарий:
- Два разных домена Windows (A и B) без какой-либо конфигурации доверия
- Сетевой доступ между доменами устанавливается с помощью IPSec Site2Site (все порты необходимо открывать отдельно)
- Одна конкретная служба Windows на сервере в домене A должна использовать учетную запись AD из домена B для входа в систему (Служба Windows -> Вход в систему -> Эта учетная запись -> Учетная запись из домена B)
Наш партнер не хочет устанавливать доверительные отношения домена по соображениям безопасности и поэтому спрашивает, можем ли мы реализовать этот процесс аутентификации через ADFS?
Для меня ADFS — это нечто новое, и я не уверен, возможен ли вообще такой сценарий с ADFS?
решение1
Это невозможно без доверия домена.
ADFS позволяет приложениям проходить аутентификацию в AD (или другом поставщике удостоверений) без прямого доступа к нему; но приложения должны явно поддерживать этот метод аутентификации.
Вход в Windows не поддерживает.
Чтобы войти в систему Windows, вам необходимо либо:
- Войдите в систему, используя локальную учетную запись пользователя.
- Войдите в систему, используя учетную запись пользователя в домене, к которому подключена система.
- Войдите в систему, используя учетную запись пользователя в доверенном домене.
решение2
В дополнение к ответу @Massimo, если бы вы могли изменить службу Windows для использования OpenID Connect с потоком учетных данных клиента (т. е. служба, а не пользователь, поэтому нет явного входа), то это бы работало.
Другой вариант — использовать для сервиса старый добрый WS-Trust, т. е. WCF.
Оба варианта поддерживаются ADFS.