it-swarm.dev

Come ottenere un SSO continuo senza che l'utente debba accedere nuovamente (SAML 2.0 e ADFS usando OpenSSO)

Dobbiamo implementare SSO senza soluzione di continuità con ADFS SAML 2.0 utilizzando OpenSSO e prevediamo di utilizzare l'associazione GET avviata da IdP. L'utente nella rete client accederà ad ADFS con le credenziali di Windows una volta ogni mattina. Pertanto, ogni volta che accede alla nostra applicazione ospitata in SaaS (rete/dominio diversi da quello del client), non dovrebbe essere richiesto per le credenziali di accesso.

I profili SSO supportati da SAML 2.0 (incluso IdP avviato) richiedono che l'utente inserisca le credenziali (nella pagina di accesso ADFS) ogni volta che la richiesta passa ad ADFS per l'autenticazione.

È possibile impedire l'autenticazione del prompt ADFS? In tal caso, come è possibile ottenere questo risultato?

9
user36009

Configurare la pagina di accesso ADFS per l'autenticazione mediante l'autenticazione di Windows. Quindi l'utente dovrebbe essere reindirizzato automaticamente alla pagina di destinazione senza effettivamente fare nulla.

4
Ben

Ho avuto il problema di ottenere un popup di autenticazione quando provavamo ad autenticarci su ADFS da Internet: sulla nostra rete aziendale si connetteva senza problemi.

L'ho risolto aggiungendo il nostro sito ADFS alla zona Intranet in IE e successivamente usando l'oggetto Criteri di gruppo.

2
Leimie

È necessario un browser in grado di eseguire l'autenticazione Kerberos. L'ho fatto solo per Internet Explorer, ma credo che anche Firefox possa farlo.

Per Internet Explorer, il sito con cui si desidera eseguire l'autenticazione deve essere nell'elenco dei siti Intranet, altrimenti il ​​browser non eseguirà un'autenticazione continua. Questo sito (server IdP ADFS) può essere aggiunto in GPO della propria organizzazione.

Inoltre: è possibile che l'IdP sia avviato POST vincolante a causa della limitazione della quantità di dati che è possibile inviare in una richiesta GET.

2