Федеративная идентификация с IdentityServer и партнером по ресурсам ADFS

Question

Я провел исчерпывающий поиск за последние 2 дня, пытаясь найти ответы на все мои вопросы, и я считаю, что я ударил стену здесь. Я искренне извиняюсь, если на это ответили правильно в другом месте, возможно, я не задавал правильных вопросов. This question, похоже, близок к тому, что нам нужно, однако это относится к IdentityServer2, и мы не смогли найти ту же самую панель администратора, которая описана в видео, которое там связано.

Вот очень общий обзор сценария мы хотели бы достичь

• Пользователь входит в систему на веб-приложение Организации A и получает аутентификацию через некоторые STS против базы данных SQL.

• Пользователь нажимает на ссылку на веб-приложение Организации A, чтобы сделать прыжок через к веб-приложение организации Б

• ADFS сервер организации Б см это маркер от STS и не запрашивает учетные данные пользователя, а не просто позволяя им использовать WebAPP организации б

Мы хотели бы просто пойти с ADFS, однако организация А не хочет, чтобы переместить их пользовательскую информацию от SQL к AD.

Мы установили сервер ADFS локально для тестирования и получили его работу с нашими местными пользователями AD. Мы хотели бы использовать это, чтобы представить сервер ADFS организации B, который предоставит доступ к Webapp организации B.

У нас также есть IdentityServer3, работающий локально и аутентифицирующийся. Это будет представлять собой STS организации A.

1) Прежде всего ... Это возможно?

2) Является ли это разумной архитектурой или мы все об этом не так?

3) Если возможно & разумный; Для чего нужен IdentityServer3 для предоставления серверу ADFS партнера?

Заранее спасибо

Answer 1

Просто, чтобы подтвердить - Вы хотите федеративные ADFS и idsrv3?

Да - возможно - да - это разумно - да - многие люди делают это.

Обратитесь к серии сообщений I wrote, в которых описывается, как это сделать с помощью ряда протоколов.