场景:用户位于通用工作站,需要访问使用 ADFS 2.0 联合的第三方应用程序。当用户访问网站时,它会尝试使用登录到工作站的通用用户自动登录。通用用户无权访问此应用程序。
因此,我们希望 ADFS 尝试提示用户输入其凭据。这可能吗?我们可以让 ADFS 尝试自动登录,如果没有则提示吗?
谢谢!GK
答案1
我们可以让 ADFS 尝试自动登录,如果没有则提示吗?
不,ADFS 没有这种后备机制。此外,“自动登录”在这里实际上工作正常。问题是您的用户没有使用您想要的帐户进行身份验证。我看到 2 个选项:
您告诉用户在 IE 快捷方式上执行“Shift + 右键单击 + 以其他用户身份运行”->他们使用自己的凭据打开 IE->ADFS 将使用他们的帐户而不是通用帐户对他们进行身份验证。
当您的第三方应用将用户重定向到 ADFS 时,它必须在查询字符串中添加一个附加参数:wauth=urn:oasis:名称:tc:SAML:1.0:am:密码。这将强制 ADFS 使用基于表单的身份验证,无论 web.config 中配置了什么。
第二种解决方案的问题在于它会影响所有用户。我不知道第三方应用程序是否有办法知道请求是否来自通用工作站;如果是,您可以在添加参数时进行过滤。