将 Windows 2012 R2 Web 应用程序代理的 SSO 用于另一个 ADFS 场

将 Windows 2012 R2 Web 应用程序代理的 SSO 用于另一个 ADFS 场

我正在设置 Web 应用程序代理作为反向代理,以将我们的一些内部网站发布到互联网。我将发布https://portal.workplace.example作为“中心”网站,它将链接到内部托管的其他各种网站。这些网站托管在不同的服务器上,因此我想使用 WAP 来利用 SSO 功能。这很好用。

其中一个链接指向 Office 365。我们使用 IAMCloud 的 Federate 365 服务(本质上是托管的 ADFS 服务)来验证我们的用户。使用这种方式意味着外部用户不依赖于我们的互联网连接是否处于活动状态来访问 O365,并且如果我们的连接中断,他们仍然能够进行身份验证。但是,这也意味着当用户单击指向 Office 365 的链接时,他们必须重新进行身份验证。我想要的是将 Web 应用程序代理收集的凭据自动传递到外部联合服务。我只是不知道你会怎么做。

我已将外部 ADFS 场添加为依赖方信任,但我不知道需要使用什么作为声明规则,因此我使用了传递规则,并将 UPN 作为传递的声明。我还使用 WAP 和外部联合的 URL 设置了发布规则,并在测试计算机上更改了 hosts 文件,以使外部联合的地址解析为 WAP 的 IP 地址,但这只会导致出现空白页。我完全承认我做得不对,但我不知道接下来该怎么做。有人能给我一些建议吗?

非常感谢,

伊恩

答案1

Web 应用程序代理不收集外部用户凭据 - 用户身份验证仅由 ADFS 完成,它是 WAP 的唯一身份验证提供程序。正如 @MichelZ 指出的那样,您在这里插入了对本地目录的依赖关系 :-)。

我认为,无论内部连接是否处于活动状态,随时实现 SSO 的唯一方法是将所有本地应用程序更改为信任云作为身份提供者。否则,您仍然有多个身份提供者,这基本上消除了 SSO 的可能性。

相关内容