Назад | Перейти на главную страницу

ADFS и Shibboleth: управление поведением проверки подлинности Windows

Мы выполняем единый вход с использованием ADFS и Shibboleth SP.

В идеальном мире аутентификация Windows всегда будет работать, т.е.пользователь получает доступ https: // shibboleth / Войти? target = где-нибудь, перенаправляется на https: // adfs / adfs / ls / SomeSamlRequestбраузер аутентифицирует пользователя в фоновом режиме, используя некую магию Active Directory, и, наконец, пользователь перенаправляется на желаемую страницу, не встречая какой-либо формы входа или диалога.

Однако, если это не сработает, пользователю будет показано диалоговое окно HTTP-аутентификации. Есть ли способ настроить, сколько попыток входа в систему получает пользователь и куда их перенаправить в случае сбоя проверки подлинности?

Есть ли способ настроить количество попыток входа в систему для пользователя?

AFAIK, Internet Explorer пытается аутентифицировать пользователя 3 раза, используя встроенную аутентификацию Windows (WIA), прежде чем отобразить приглашение. Когда пользователь видит приглашение, я думаю, он может попробовать столько раз, сколько захочет, но обычно его учетная запись через некоторое время блокируется в Active Directory.

и куда их перенаправить при сбое аутентификации?

Нет, в ADFS нет возможности перенаправить пользователя на другую страницу в случае сбоя встроенной проверки подлинности Windows.

Если у вас есть поле (например, обратный прокси) между вашим пользователем и вашим сервером ADFS, вы можете разработать что-то, чтобы добавить это поведение, но это довольно сложно, ИМХО.

Это зависит. Вы контролируете AD & Shib IDP и Shib SP? Тогда вы сможете сделать это разными способами. Вы можете просто положиться на функциональность AD, чтобы заблокировать пользователей со слишком большим количеством неудачных попыток входа в систему. Вот что мы сделали.

Если вы контролируете IDP, вы можете связаться с этими парнями: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass Как они это делали раньше (См. Раздел: Объединение модулей входа в стек)

Если вам нужно простое и дешевое решение (но, очевидно, не очень хорошее), вы можете отложить попытки входа в систему на внешнем интерфейсе, чтобы уменьшить атаки грубой силы, или даже заблокировать определенное имя пользователя после множества попыток входа в систему.