Prise en charge de l'authentification par formulaire existante et de WebSSO fédéré

Question

Nous avons une application Web hébergée qui utilise l'authentification par formulaires. Cette application Web est accessible aux utilisateurs appartenant à différentes organisations partenaires. Actuellement, les utilisateurs appartenant aux organisations partenaires accèdent à l'application en utilisant les informations d'identification que nous leur donnons. Désormais, certaines organisations partenaires souhaitent que leurs utilisateurs accèdent à l'application en utilisant leurs informations d'identification d'annuaire actives. Nous prévoyons d'utiliser ADFS pour ces organisations partenaires. Ainsi, les utilisateurs seront authentifiés à l'aide d'Active Directory sur leur réseau et les revendications seront envoyées à la webapp via le cookie de jeton d'authentification défini par l'ADFS. À partir des revendications, nous mappons les utilisateurs aux userIds internes de l'application Web. Mes questions sont, si nous rendons l'application Web ADFS activée, 1) Est-il possible de permettre aux autres organisations de l'organisation partenaire (qui ne veulent pas utiliser ADFS) de se connecter à l'application Web en utilisant l'existant page de connexion (authentification par formulaire)? 2) Faut-il accéder à toutes les pages de la webapp ADFS via https?

Toutes les solutions ou les pointeurs seraient très appréciés.

Merci -arul

Answer 1

Votre application a besoin d'exiger les revendications qui décrivent l'utilisateur, quel que soit leur connexion à partir. Il ne devrait pas gérer l'authentification dans les deux cas; ceci devrait être délégué à un émetteur de confiance, un STS. Cela lui permettra d'interagir avec les utilisateurs d'une manière uniforme, peu importe où et comment ils s'authentifient. Cela signifie que vous devrez utiliser ADFS dans deux rôles: celui d'un STS de fournisseur d'identité (IP) et d'un STS de fournisseur de fédération (FP). Pour les utilisateurs de sociétés partenaires qui ne souhaitent pas gérer eux-mêmes les utilisateurs, vous serez l'IP-STS; pour ceux qui le font, vous serez un FP-STS. Dans ce dernier cas, ADFS redirigera les utilisateurs de votre domaine vers le site du partenaire où leur IP-STS les authentifiera et les enverra à votre FP-STS. Il identifie l'ID utilisateur et les revendications de votre partenaire dans ceux qui ont un sens dans votre domaine. Cette information et d'autres concernant l'utilisateur seront incluses dans l'ensemble des revendications émises par votre FP-STS. Par conséquent, votre application ne fait confiance qu'à votre STS, quel que soit le scénario approprié pour différents utilisateurs. Notez que dans ce scenerio, il y aura deux STS: votre ADFS FP-STS et l'IP-STS de votre partenaire, qui peut être ADFS ou non. Dans l'autre cas, il n'y aura qu'un seul STS: votre IP-STS. Il n'est pas nécessaire d'accéder à toutes les pages de votre application Web ADFS via HTTPS; Cependant, tout le monde qui est utilisé dans le processus d'authentification devrait être.

Ceci est vraiment une entreprise non triviale. Si vous voulez en parler plus, n'hésitez pas à get in touch w/ me.