情境:使用者位於通用工作站,需要存取使用 ADFS 2.0 聯合的第三方應用程式。當使用者造訪網站時,它會嘗試使用登入到工作站的通用使用者自動登入。普通用戶無權存取此應用程式。
因此,我們希望 ADFS 嘗試提示使用者輸入憑證。那可能嗎?如果沒有提示,我們可以讓 ADFS 嘗試自動登入嗎?
謝謝!吉克
答案1
如果沒有提示,我們可以讓 ADFS 嘗試自動登入嗎?
不,ADFS 沒有這種類型的後備機制。此外,「自動登入」實際上在這裡工作正常。問題是您的用戶未使用您想要的帳戶進行身份驗證。我看到兩個選項:
您告訴您的使用者在IE 捷徑上執行「Shift + 右鍵單擊 + 以其他使用者身分執行」 -> 他們使用自己的憑證開啟IE -> ADFS 將使用他們的帳戶(而不是通用帳戶)對他們進行身份驗證。
當您的第 3 方應用程式將使用者重定向到 ADFS 時,它必須在查詢字串中新增一個附加參數:wauth=urn:oasis:名稱:tc:SAML:1.0:am:密碼。這將強制 ADFS 使用基於表單的身份驗證,無論 web.config 中配置了什麼。
第二種解決方案的問題是它會影響所有使用者。我不知道第 3 方應用程式是否有辦法知道請求是否來自通用工作站;如果是,您可以在新增參數時進行過濾。