Назад | Перейти на главную страницу

Использование SSO прокси веб-приложения Windows 2012 R2 для другой фермы ADFS

Я настраиваю прокси-сервер веб-приложения в качестве обратного прокси-сервера для публикации некоторых наших внутренних веб-сайтов в Интернете. Я собираюсь опубликовать https: //portal.workplace.example в качестве «узлового» сайта, который будет ссылаться на различные другие веб-сайты, размещенные внутри компании. Эти сайты размещены на разных серверах, поэтому я хочу использовать WAP, чтобы воспользоваться функцией единого входа. Это прекрасно работает.

Одна из ссылок будет на Office 365. Мы используем службу IAMCloud Federate 365 (которая по сути является размещенной службой ADFS) для аутентификации нашего пользователя. Использование этого означает, что внешние пользователи не зависят от активности нашего интернет-соединения для доступа к O365 и что они все равно смогут пройти аутентификацию, если наше соединение прекратится. Однако это также означает, что, когда пользователь щелкает ссылку на Office 365, он вынужден повторно пройти аутентификацию. Я бы хотел передать учетные данные, которые прокси веб-приложения собирает автоматически, внешней службе федерации. Я просто не понимаю, как вы это сделаете.

Я добавил внешнюю ферму ADFS в качестве отношения доверия с проверяющей стороной, но я понятия не имею, что мне нужно использовать в качестве правила утверждения, поэтому я использовал правило сквозной передачи с UPN в качестве передаваемого утверждения. Я также установил правило публикации с WAP с URL-адресом внешней федерации и изменил файл hosts на тестовом компьютере, чтобы адрес внешней федерации разрешался в IP-адрес WAP, но это просто приводит к пустой странице. Я полностью согласен с тем, что делаю это неправильно, но я не знаю, что делать дальше. Кто-нибудь может дать мне совет?

Большое спасибо,

Ян

Прокси веб-приложения не собирает учетные данные внешних пользователей - аутентификация пользователя выполняется исключительно ADFS, который является единственным поставщиком аутентификации для WAP. И, как заметил @MichelZ, вы вставляете здесь зависимость от своего локального каталога :-).

Я думаю, что единственный способ иметь единый вход в любое время независимо от активности вашего интернированного соединения - это изменить все ваши локальные приложения, чтобы они доверяли облаку как провайдеру удостоверений. В противном случае у вас по-прежнему будет несколько поставщиков удостоверений, что в основном устраняет возможность единого входа.