在單一組織中, 可以在下列情況下使用 ADFS啟用 SSO:
。應用程式可能不在基於 Windows的伺服器或任何支援 ADDS驗證的伺服器上執行, 或者它們可能在運行 Windows Server但未加入網域的伺服器上執行, 應用程式可能需要 SAML 或 Web服務進行身份驗證和授權w-studio.idv.tw
。在多個網域和樹系時, 多個樹系中的使用者可能需要存取相同的應用程式
。辦公室外部的使用者可能需要存取內部伺服器上執行的應用程式, 外部使用者可能從不屬於內部網域的電腦登入應用程式
2. Web伺服器接收請求並識別出用戶端裝置沒有宣告
3. Web伺服器將用戶端裝置重新導向至 Web應用程式代理, 用戶端裝置向 Web應用程式代理發送 HTTPS請求, 根據具體情況 Web應用程式代理可能會提示使用者進行身份驗證或使用 Windows驗證來收集使用者的憑證
4. Web應用程式代理將請求和憑證傳輸到同盟伺服器
5. 同盟伺服器使用 ADDS對使用者進行身份驗證
6. 如果驗證成功, 同盟伺服器將收集有關使用者的 ADDS資訊並使用它來產生使用者的宣告(ADFS中必須存在 Web應用程式的依賴方信任, 如果同一使用者嘗試存取不同的 Web應用程式, 則安全性權杖可以包含不同的使用者宣告, 然後該權杖會傳遞給使用者和 Web應用程式)
7. 如果身份驗證成功, 身份驗證資訊和其他資訊將收集在安全性權杖中並傳回 Web應用程式代理(伺服器為特定 Web應用程式簽署此安全性權杖, 因此 ADFS中必須存在對此 Web應用程式的依賴方信任)w-studio.idv.tw
8. Web應用程式代理將權杖傳遞給用戶端
9. 用戶端向 Web伺服器提供權杖和 Web資源:
-接收請求並驗證簽署權杖
-用使用者權杖中的宣告來提供對應用程式的存取
沒有留言:
張貼留言