У меня есть приложение, в котором мы недавно реализовали использование SAML для аутентификации. Для большинства наших клиентов все пользователи получают доступ к приложению из одной страны. Это просто, так как есть один URL.
Однако некоторые из наших клиентов, работающих по всему миру, используют разные URL-адреса в зависимости от своего местоположения для доступа к одному и тому же приложению. например
Пользователи из Великобритании используют customer1.ourcompany.co.uk
Пользователи из США используют customer1.ourcompany.com
Оба эти URL-адреса ведут к одному и тому же экземпляру приложения на одном сервере IIS.
Все эти виды использования могут проходить аутентификацию с использованием одного и того же сервера ADFS, но их необходимо перенаправить обратно на .co.uk или .com, в зависимости от того, с какого исходного URL-адреса пришел пользователь.
Это возможно? Если да, то как лучше всего это реализовать?
Дополнительная информация: Среда на базе Windows. Всегда инициируется SP
Менеджер также думал об использовании другого gTLD (например, outcompany.app) для некоторых клиентов. Это будет другой URL-адрес, который необходимо перенаправить, как указано выше.
Пока я не тестировал это, я думаю, вы можете попробовать следующее:
В отличие от пользователей из Великобритании и США, вы можете использовать разные суффиксы UPN, адреса электронной почты или любые другие.
Создайте два траста проверяющей стороны, настройте URL-адрес Великобритании в первом и URL-адрес США во втором (или в любом другом порядке, который вы предпочитаете).
Измените правила утверждения авторизации по умолчанию для каждого отношения доверия с проверяющей стороной. Разрешить только те входящие заявки, которые имеют правильное значение, например суффикс UPN, совпадающий с соответствующим расположением. Несовпадающие утверждения будут отклонены этим правилом, будут разрешены только совпадающие значения, а проверяющей стороне будет выдан токен безопасности.