Comment obtenir une connexion unique transparente sans que l'utilisateur ne se reconnecte (SAML 2.0 et ADFS à l'aide d'OpenSSO)

Question

Nous devons implémenter SSO sans couture avec ADFS SAML 2.0 en utilisant OpenSSO et nous prévoyons d'utiliser une liaison GET initiée par IdP. L'utilisateur du réseau client se connectera à ADFS avec les informations d'identification Windows une fois par matin. À ce sujet, chaque fois qu'il accède à notre application hébergée dans SaaS (réseau/domaine différent de celui du client), il ne devrait pas être invité à fournir des informations de connexion.

Les profils SSO pris en charge par SAML 2.0 (y compris ceux initiés par IdP) nécessitent que l'utilisateur saisisse les informations d'identification (sur la page de connexion ADFS) chaque fois que la demande est envoyée à ADFS pour authentification.

Est-il possible d'empêcher l'authentification ADFS de l'authentification? Si oui, comment y parvenir?

Ben · Answer

Configurez la page de connexion ADFS pour vous authentifier à l'aide de l'authentification Windows. Ensuite, l'utilisateur doit être automatiquement redirigé vers la page de destination sans avoir à faire quoi que ce soit.

http://blogs.technet.com/b/abizerh/archive/2013/04/11/more-information-about-sso-experience-when-authenticating-via-adfs.aspx

Leimie · Answer

J'ai eu le problème où nous obtiendrions une fenêtre d'authentification lors de la tentative d'authentification auprès d'ADFS à partir d'Internet - sur notre réseau d'entreprise, il se connectait de manière transparente.

Je l'ai résolu en ajoutant notre site ADFS à la zone Intranet dans IE et plus tard en utilisant GPO.

Dog eat cat world · Answer

Vous avez besoin d'un navigateur capable de faire l'authentification Kerberos. Je ne l'ai fait que pour Internet Explorer, mais je pense que Firefox peut aussi le faire.

Pour Internet Explorer, le site auprès duquel vous souhaitez vous authentifier doit figurer dans la liste des sites intranet - sinon le navigateur ne fera pas d'authentification transparente. Ce site (serveur ADFS IdP) peut être ajouté dans le GPO de votre organisation).

De plus: vous souhaiterez peut-être que l'IdP soit initialisé POST liaison en raison de la restriction de la quantité de données pouvant être envoyées dans une demande GET.