ユーザーがWebサイト(WebsiteA
)にログインするために、AD FSでWS Federationオプションを使用しています。今度は別のベンダーにSSOをする必要があります... WebsiteB
と言うことができます。IdpInitiatedLoginの前のAD FSリフレッシュトークン
SSOを行うには、AD FSを介してIdpInitiatedLogin
を開始するだけで、ユーザーはWebsiteBにログインします。
一般的に、ユーザーはWebsiteAのアカウントごとにWebsiteBに2つのアカウントを持っています。 WebsiteBのアカウントにログインするには、IdpInitiatedLoginの前にWebsiteAからLDSのプロパティを設定します。これによりWebsiteBの申し立てが設定されるため、使用するアカウントを知ることができます。
問題は、LDSの同じプロパティで異なる値を設定したときに、websiteBに見られるように、SAMLのクレーム情報でリフレッシュされません。
ユーザーが正しいアカウントにログインできるように、IdpInitiatedLoginプロセスの前にSAML /トークンまたはクレーム情報を更新する方法はありますか?
私は地域での練習がたくさんありませんので、あまりうまくいかないかもしれないアイデアを捨てているだけなので、これは単なるコメントです...しかし、私はSAMLトークンを信じています基本的にクッキーです。クッキーをクリアすることができれば、効果的にトークンをリフレッシュします。しかし、ほとんどの場合、あなたがしたいことはSAMLによってうまくサポートされていないと思います。私は小規模な大学向けのGoogle Appsドメインを管理していることを知っており、1人のスタッフが同時に2つのGoogle SSOアカウントにログインできるようにするのは苦労です。私は一般的に、これを行う必要がある人に2つの異なるブラウザを使用するように頼んでいます。 –
ありがとうJoel、Infactクッキーには、SAMLに属しているクッキーはありません。しかし、私はあなたのポイントを得るが、リフレッシュさえ動作しません。完全にこの特定の領域で失われた! –