外部認証プロバイダを使用したADFSシングルサインオン

Question

顧客対応のシステムでユーザーを認証する責任を負うADFS（2.0）を確立しています。認証メカニズムは、複数の認証プロバイダへのアクセスを提供する外部パートナーに委託されています。

我々は最近、次のような状況に遭遇した：

1. ユーザーが顧客向けのシステムAにアクセスしようとすると、認証のためにADFSにリダイレクトされます。
2. ADFSは、認証パートナーにユーザーをリダイレクトします。ここで、認証パートナーは正常に認証されます。
3. ユーザーは、認証トークンを使用してADFSに返送されます。
4. ADFSは、ユーザーをシステムAに戻します。これで、ユーザーはセッションを開始しました。
5. ユーザーは、システムBにアクセスしようとした彼は、まだ認証 されていないで、とADFSに送信されます。

ADFSは、我々が期待される振る舞いから外れるところです。ユーザーを認識し、有効な認証トークンを使用してシステムBに透過的に戻す代わりに、ADFSは再認証のために認証パートナーに彼を送信します。

これは、システムAとBを使用している顧客に対して望んでいたSSO機能を完全に破壊しますが、ADFSにユーザーセッションを確立させ、2番目のシステムへのアクセス中に再利用する方法が見つかりませんでした。

誰でもこの問題を解決しましたか？

ADFSは、認証の責任を完全に負う場合にのみシングルサインオンを提供できますか？ ADFSすなわちとクレームプロバイダーを使用すると、それぞれのSTSを連携として、古典的なADFSで

Answer 1

、あなたは異なる認証パートナーを設定します。これにより、必要なSSO機能が提供されます。

あなたの問題はADFSと外部パートナーとの間ではなく、ADFSと外部パートナーで扱う認証プロバイダ間の唯一のフェデレーションがあることがあるようですね。

Answer 2

ADFS2ログにアクセスできますか？ Windowsマシン - >イベントビューア - >アプリケーションとサービスログ - > AD FS 2.0 - >管理者。

チェックはまた、A、BおよびADFS2は信頼の同じ円であり、また

はそれが役に立てば幸いシステムBのアサーションコンシューマサービスエンドポイント、

ルイス

Answer 3

RP-s（システムAおよびシステムB）が強制認証（ForceAuthn = "true"）に設定されている場合、ADFSはこのように動作することが期待されます。問題を解決するには、フレッシュネス属性が​​要素から削除されていることを確認してください。