У нас есть AD FS 3.0, работает хорошо. Создан новый Доверительный фонд проверяющей стороны - опять же, он работает хорошо. Однако существует бизнес-требование (безопасность) для одного и того же входа, а не для единого входа, то есть мы хотим, чтобы от пользователя требовалось каждый раз вводить свои учетные данные для этой Проверяющей стороны.
Для этого я настроил пользовательскую политику первичной аутентификации для этой проверяющей стороны с Пользователи должны вводить учетные данные каждый раз при входе в систему флажок установлен.
Похоже, это не работает - пользователи перенаправляются со стороннего сайта на наш сервер федерации, но затем проходят аутентификацию на стороннем сайте без запроса на ввод учетных данных.
Есть что-то очевидное, что я пропустил? Что еще я должен проверить?
Если вы находитесь в корпоративной сети и используете браузер, который, по мнению AD FS, поддерживает встроенную проверку подлинности Windows (WIA), вам придется выполнить новый вход в систему с помощью WIA. Но никаких сбоев для конечного пользователя не будет. При правильной настройке они будут использовать керберос для повторной аутентификации в AD FS.
Если бы вместо этого вы использовали браузер, который не поддерживает WIA в AD FS, например Firefox / Chrome, вы должны увидеть, что пользователю будет предложено снова ввести учетные данные на странице проверки подлинности на основе форм.
Возможность браузера выполнять WIA контролируется с помощью строкового массива WIASupportedUserAgents. Видеть https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-intranet-forms-based-authentication-for-devices-that-do-not-support-wia для получения подробной информации о том, как можно управлять этим списком.
Таким образом, очевидное отсутствие прерывания конечного пользователя для ввода учетных данных не означает, что «Пользователи должны предоставлять учетные данные каждый раз при входе в систему» не работает.