Назад | Перейти на главную страницу

OAuth2 в ADFS с доверительными отношениями поставщиков с несколькими утверждениями

ADFS 3.0 представила поток кода авторизации OAuth2. У нас есть существующий сервер ADFS с существующими Проверяющими сторонами, Внешними поставщиками утверждений и Правилами утверждений. Новый поток OAuth связан со всем этим, требуя, чтобы идентификатор проверяющей стороны предоставлялся в качестве параметра «ресурса» при запросах к конечной точке авторизации OAuth ADFS.

Когда я нажимаю на эту конечную точку, ADFS показывает мне страницу выбора домашней области с опцией для каждого из моих настроенных поставщиков утверждений.

С потоками Saml и WS-Fed можно указать «домашнюю область» в запросе к ADFS, который обходит этот экран.

Возможно ли это с потоком OAuth2?

Если это так, это недокументировано из того, что я вижу, поэтому я предполагаю, что ответ отрицательный. Итак, если это не удается, какой обходной путь существует, если я не хочу предоставлять пользователю список поставщиков утверждений?

Ответили здесь: https://social.technet.microsoft.com/Forums/en-US/c3703674-6cd8-461f-9f67-ecfaa69c6817/oauth2-on-adfs-with-multiple-claims-provider-trusts?forum=ADFS

Вы можете обойти HRD следующим образом:
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Active Directory")
В этом случае мы предполагаем, что пользователи всегда приходят из AD. Но выбор другой CP - это ваш выбор.

я использую это, чтобы сделать трюк: https://blog.kloud.com.au/2018/06/14/auto-redirect-adfs-4-0-home-realm-discovery-based-on-client-ip/

вместо IP я читаю referrer \ origin или любой другой параметр, который я могу ввести в строку запроса, он работает !!!