web-dev-qa-db-ja.com

ユーザーに再度ログインさせることなくシームレスなSSOを実現する方法(OpenSSOを使用したSAML 2.0およびADFS)

OpenSSOを使用してADFS SAML 2.0でシームレスなSSOを実装する必要があり、IdPによって開始されるGETバインディングを使用する予定です。クライアントネットワークのユーザーは、毎朝1回Windows資格情報を使用してADFSにログインします。その後、SaaS環境(クライアントのネットワーク/ドメインとは異なるネットワーク/ドメイン))でホストされているアプリケーションにアクセスするときは常に、ログイン資格情報の入力を求められるべきではありません。

SAML 2.0(IdP開始を含む)でサポートされるSSOプロファイルでは、リクエストが認証のためにADFSに送られるたびに、ユーザーは(ADFSログインページで)資格情報を入力する必要があります。

ADFSプロンプトが認証されないようにすることはできますか?もしそうなら、これはどのように達成できますか?

9
user36009

Windows認証を使用して認証するようにADFSログインページを設定します。次に、ユーザーは実際には何もすることなく、宛先ページに自動的にリダイレクトされます。

4
Ben

インターネットからADFSに認証しようとすると、認証ポップアップが表示されるという問題がありました-社内ネットワークではシームレスにログインしました。

ADFSサイトをIE以降のイントラネットゾーンに追加し、後でGPOを使用して追加しました。

2
Leimie

Kerberos認証を実行できるブラウザが必要です。これはInternet Explorerでのみ実行しましたが、Firefoxでも実行できると思います。

Internet Explorerの場合、認証するサイトはイントラネットサイトのリストに含まれている必要があります。そうでない場合、ブラウザはシームレスな認証を行いません。このサイト(ADFS IdPサーバー)は、組織のGPO)に追加できます。

さらに、GETリクエストで送信できるデータの量が制限されているため、IdPを開始するPOSTバインディングが必要になる場合があります。

2