Imaginez le scénario suivant.Mise à jour des revendications avec ADFS et WIF
L'utilisateur visite un site A (ASP.NET), authentifie en utilisant ADFS et obtient un ensemble de revendications. À un moment donné, ils doivent s'inscrire pour un service supplémentaire afin qu'ils soient redirigés vers un site de provisionnement B (ASP.NET) (utilisant également ADFS - so SSO) où ils s'inscrivent en entrant leurs détails pertinents et sont redirigés vers A.
Toutefois, une partie du processus d'approvisionnement a ajouté des attributs à un référentiel (normalement AD) et nous aimerions que ces attributs fassent partie de leur ensemble de revendications.
Pour ce faire, ils se ré-authentifient? Est le meilleur moyen de le faire en forçant une déconnexion fédérée? Serait-ce fait par le site A ou le site B?
S'il s'agit d'utilisateurs internes utilisant WIA, ils seraient connectés en "coulisses" et tout le processus serait transparent.
Et si ce sont des utilisateurs externes utilisant FBA? Ne devraient-ils pas se reconnecter? Étant donné que ce n'est pas une expérience utilisateur très satisfaisante, y a-t-il un moyen de contourner ce problème?
Il existe quelques références qui traitent de l'écriture d'un jeton signé en tant que cookie dans le navigateur client, puis du STS authentifiant ultérieurement le jeton SSO à partir du cookie. Comment feriez-vous cela avec ADFS?
Merci - J'ai déjà utilisé votre message pour d'autres scénarios. Cependant, ils ont tous utilisé WIA. Avez-vous essayé ceci avec ADFS configuré pour FBA? Est-ce que cela les connecte "dans les coulisses"? – nzpcmad
Correct. Si vous utilisez des formulaires de connexion dans ADFS, cela fonctionnera car il recherche simplement les cookies MSIS. Si ceux-ci sont présents, l'utilisateur sera automatiquement renvoyé à la partie utilisatrice comme s'il venait juste de se connecter. –
Excellent - juste en train de faire du design pour le moment - ne sera pas implémenté pendant un moment - mais heureux d'accepter votre réponse. – nzpcmad