链式 ADFS STS 是否对涉及的每个域进行身份验证?
Do chained ADFS STS authenticate each domain involved?
我最近正在阅读这篇关于将多个 ADFS STS 链接在一起的博客post:http://blogs.technet.com/b/dmitrii/archive/2012/08/18/chaining-multiple-sts.aspx
以防 link 失效,作者描述了将多个 ADFS 实例链接在一起以提供如下设置:
- 支持声明的应用程序
- 依赖合作伙伴 STS - fs1.external.com
- 回复合作伙伴 STS - fs2.contoso.com
- IdP STS - fs1.contoso.com
当用户登录启用声明的应用程序时,他们将访问每个 STS,并最终访问他们将获得身份验证的 IdP。那时,身份验证通过不同的 STS 传回给用户。
在这种情况下,是否对每个STS的域进行了身份验证? IE。是针对 fs1.external.com、fs2.external.com、fs1.contoso.com 还是仅针对 IdP 域 (fs1.contoso.com) 发布的 cookie?
只是 IDP 域。
但是请注意,在下游路径上:
- 每个 ADFS 都可以使用声明来扩充令牌
- 令牌已重新铸造
并使用该实例的签名密钥签名
我最近正在阅读这篇关于将多个 ADFS STS 链接在一起的博客post:http://blogs.technet.com/b/dmitrii/archive/2012/08/18/chaining-multiple-sts.aspx
以防 link 失效,作者描述了将多个 ADFS 实例链接在一起以提供如下设置:
- 支持声明的应用程序
- 依赖合作伙伴 STS - fs1.external.com
- 回复合作伙伴 STS - fs2.contoso.com
- IdP STS - fs1.contoso.com
当用户登录启用声明的应用程序时,他们将访问每个 STS,并最终访问他们将获得身份验证的 IdP。那时,身份验证通过不同的 STS 传回给用户。
在这种情况下,是否对每个STS的域进行了身份验证? IE。是针对 fs1.external.com、fs2.external.com、fs1.contoso.com 还是仅针对 IdP 域 (fs1.contoso.com) 发布的 cookie?
只是 IDP 域。
但是请注意,在下游路径上:
- 每个 ADFS 都可以使用声明来扩充令牌
- 令牌已重新铸造 并使用该实例的签名密钥签名