我们有 AD FS 3.0,运行良好。已设置新的依赖方信任 - 同样,它运行良好。但是,对于同一登录而不是单点登录,存在业务(安全)要求,也就是说,我们希望用户每次都需要为此依赖方输入其凭据。
为此,我为该依赖方配置了自定义主要身份验证策略,其中包括用户每次登录时均需提供凭证已勾选。
这似乎不起作用——用户从第三方站点重定向到我们的联合服务器,但随后在第三方站点上进行身份验证而无需输入他们的凭据。
我是否遗漏了某些明显的内容?我还应该检查什么?
答案1
如果您在公司网络上,并使用 AD FS 认为支持 Windows 集成身份验证 (WIA) 的浏览器,您最终将使用 WIA 进行新的登录。但不会对最终用户造成任何干扰。如果配置正确,他们将使用 kerberos 重新向 AD FS 进行身份验证。
如果您使用 AD FS 认为不支持 WIA 的浏览器(例如 Firefox/Chrome),您应该会看到系统提示用户在基于表单的身份验证页面上再次输入凭据。
浏览器执行 WIA 的能力由名为 WIASupportedUserAgents 的字符串数组控制。请参阅https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-intranet-forms-based-authentication-for-devices-that-do-not-support-wia有关如何控制此列表的详细信息。
因此,表面上缺乏最终用户输入凭据的中断并不意味着“用户每次登录时都必须提供凭据”不起作用。