是否可以将一个 SAML spring 应用程序设置为 "man in the middle" 到其他 spring 应用程序的 ADFS?
Is it possible to set up one SAML spring application as a "man in the middle" to ADFS for other spring applications?
我已经设法将 Spring sample application 与我们的 ADFS 集成来试验 SSO,只是为了了解基础知识。我们目前有 8 个不同的模块都需要用户登录。我一直在尝试将示例应用程序用作 ADFS 的 "relay" 以进行 SSO,以减少所需的设置量?还是我必须为所有模块执行与示例应用程序和 ADFS 相同的程序?
如果它们不同 "apps",它们也可能是 ADFS 中的不同 SP(或 "relying parties")。
关键是:这些模块中的每一个都属于不同的安全边界吗?一个令牌可以用于另一个吗?用户声明会根据他们登陆的模块而有所不同吗? (例如,每个模块对用户 roles 有不同的期望)。如果其中任何一个是 true,那么这些就是不同的 SP。如果 false,您可能会在 ADFS 中使用相同的 SP 配置。
ADFS is rather clunky to configure/setup. So I understand your hesitation. Perhaps it's time for a more modern alternative, that does what you were thinking (Your modules -> Intermediary -> ADFS) ... :-)
我已经设法将 Spring sample application 与我们的 ADFS 集成来试验 SSO,只是为了了解基础知识。我们目前有 8 个不同的模块都需要用户登录。我一直在尝试将示例应用程序用作 ADFS 的 "relay" 以进行 SSO,以减少所需的设置量?还是我必须为所有模块执行与示例应用程序和 ADFS 相同的程序?
如果它们不同 "apps",它们也可能是 ADFS 中的不同 SP(或 "relying parties")。
关键是:这些模块中的每一个都属于不同的安全边界吗?一个令牌可以用于另一个吗?用户声明会根据他们登陆的模块而有所不同吗? (例如,每个模块对用户 roles 有不同的期望)。如果其中任何一个是 true,那么这些就是不同的 SP。如果 false,您可能会在 ADFS 中使用相同的 SP 配置。
ADFS is rather clunky to configure/setup. So I understand your hesitation. Perhaps it's time for a more modern alternative, that does what you were thinking (Your modules -> Intermediary -> ADFS) ... :-)