信任外部组织 ADFS 服务器并使用 openid 连接令牌
Trusting External organization ADFS server and consuming openid Connect token
ADFS 服务器 2016 支持 openId 连接。我有托管 ADFS 服务器的外部组织,我希望我的 Web 应用程序使用 openIdConnect 从外部 ADFS 服务器获得身份验证。
问题:根据 Microsoft 文档。如果我们想要使用外部组织的 ADFS,我们也应该在我们的组织中托管 ADFS。我的应用程序应该信任托管在我组织内部的 ADFS,而不是直接信任外部 ADFS。
这里我想知道为什么我们不能直接信任使用 opendiconnect 的外部 ADFS?这似乎是可能的。不直接信任外部 ADFS 的原因是什么?
两种模式都有效。如果您的应用程序计划拥有来自多个组织的用户,最好让您的应用程序信任内部组织 ADFS,然后可以通过简单的配置更改将其联合到多个组织。这使得只处理一个 IDP 的应用程序更简单。拥有内部 ADFS 的另一个优势是任何身份验证策略更改都可以在内部 ADFS 层完全管理,并且可能不需要更改应用程序。
但是,如果您的应用程序只打算支持一个外部组织,您可以直接在应用程序中执行此操作。两种模型都适用于此。
希望对您有所帮助。
谢谢 //Sam(推特:@MrADFS)
ADFS 服务器 2016 支持 openId 连接。我有托管 ADFS 服务器的外部组织,我希望我的 Web 应用程序使用 openIdConnect 从外部 ADFS 服务器获得身份验证。
问题:根据 Microsoft 文档。如果我们想要使用外部组织的 ADFS,我们也应该在我们的组织中托管 ADFS。我的应用程序应该信任托管在我组织内部的 ADFS,而不是直接信任外部 ADFS。
这里我想知道为什么我们不能直接信任使用 opendiconnect 的外部 ADFS?这似乎是可能的。不直接信任外部 ADFS 的原因是什么?
两种模式都有效。如果您的应用程序计划拥有来自多个组织的用户,最好让您的应用程序信任内部组织 ADFS,然后可以通过简单的配置更改将其联合到多个组织。这使得只处理一个 IDP 的应用程序更简单。拥有内部 ADFS 的另一个优势是任何身份验证策略更改都可以在内部 ADFS 层完全管理,并且可能不需要更改应用程序。
但是,如果您的应用程序只打算支持一个外部组织,您可以直接在应用程序中执行此操作。两种模型都适用于此。
希望对您有所帮助。
谢谢 //Sam(推特:@MrADFS)