Come ottenere un SSO senza dover riconnettere l'utente (SAML 2.0 e ADFS usando OpenSSO)

9

Dobbiamo implementare SSO senza cuciture con ADFS SAML 2.0 usando OpenSSO & abbiamo in programma di andare con il binding GET avviato da IdP. L'utente nella rete client effettuerà l'accesso ad ADFS con le credenziali di Windows una volta ogni mattina. A questo proposito, ogni volta che accede alla nostra applicazione ospitata in ambiente SaaS (rete / dominio diversa da quella del client), non deve essere richiesto per le credenziali di accesso.

I profili SSO supportati da SAML 2.0 (incluso IdP avviato) richiedono all'utente di inserire le credenziali (sulla pagina di accesso ADFS) ogni volta che la richiesta viene inoltrata ad ADFS per l'autenticazione.

È possibile impedire il prompt di ADFS dall'autenticazione? Se è così, come può essere raggiunto?

    
posta user36009 19.12.2013 - 16:38
fonte

3 risposte

4

Configurare la pagina di accesso ADFS per l'autenticazione tramite l'autenticazione di Windows. Quindi l'utente dovrebbe essere reindirizzato automaticamente alla pagina di destinazione senza effettivamente dover fare nulla.

risposta data 16.01.2014 - 17:24
fonte
2

È necessario un browser in grado di eseguire l'autenticazione Kerberos. L'ho fatto solo per Internet Explorer, ma credo che anche Firefox possa farlo.

Per Internet Explorer, il sito che si desidera autenticare deve essere presente nell'elenco dei siti Intranet, altrimenti il browser non eseguirà un'autenticazione senza interruzioni. Questo sito (server IdP ADFS) può essere aggiunto all'oggetto Criteri di gruppo dell'organizzazione.

Inoltre: è possibile che IdP abbia avviato l'associazione POST a causa della limitazione della quantità di dati che è possibile inviare in una richiesta GET.

    
risposta data 16.06.2014 - 09:14
fonte
2

Ho avuto il problema di ottenere un popup di autenticazione durante il tentativo di autenticarsi su ADFS da internet - sulla nostra rete aziendale è stato eseguito il login senza interruzioni.

L'ho risolto aggiungendo il nostro sito ADFS alla zona Intranet in IE e successivamente utilizzando GPO.

    
risposta data 23.09.2016 - 12:08
fonte

Leggi altre domande sui tag