J'utilise l'option WS Federation dans AD FS pour que les utilisateurs se connectent à notre site Web (WebsiteA
). Maintenant, nous devons faire un SSO à un autre fournisseur ... disons WebsiteB
.Jeton d'actualisation AD FS avant IdpInitiatedLogin SSO
Pour faire SSO je viens de lancer IdpInitiatedLogin
via mon AD FS et l'utilisateur se connecte à WebsiteB.
L'utilisateur a généralement 2 comptes dans WebsiteB par compte dans WebsiteA. Pour vous connecter à un compte sur WebsiteB, nous définissons une propriété dans LDS à partir de WebsiteA avant IdpInitiatedLogin. Cela définit une réclamation pour WebsiteB, de sorte qu'il sait quel compte utiliser. Le problème est que lorsque nous définissons des valeurs différentes dans la même propriété dans LDS, il ne sera pas actualisé dans les informations de revendication pour SAML, comme indiqué par siteB.
Est-il possible d'actualiser les informations SAML/Token ou revendications avant le processus IdpInitiatedLogin afin que l'utilisateur se connecte au compte correct?
Je n'ai pas beaucoup de pratique dans la région, donc je ne fais que jeter des idées qui ne sont peut-être pas très bonnes, et donc ce n'est qu'un commentaire ... mais je crois que les jetons SAML sont essentiellement des cookies. Si vous pouvez effacer le cookie, cela actualisera effectivement le jeton. Mais surtout, je pense que ce que vous voulez faire n'est pas bien supporté par SAML. Je vois ceci, où je gère un domaine Google Apps pour un petit collège, et il est difficile de permettre à un membre du personnel d'être connecté à deux comptes Google SSO en même temps. Je demande généralement aux gens qui ont besoin de faire cela d'utiliser deux navigateurs différents. –
Merci Joel, Enfait quand je vois dans les cookies il n'y a aucun cadeau de cookies qui appartient à SAML. Cependant, je comprends votre point, mais même rafraîchir ne fonctionne pas. Totalement perdu dans cette zone particulière! –