Единый знак между приложением ASP.NET и Office365 с локальным ADFS STS

Question

Я создаю веб-приложение ASP.NET, которое проверяет подлинность пользователей с помощью Windows Identity Foundation.

Организация имеет локальную ADFS STS. Их Office365 аутентифицируется через шлюз Microsoft Federation Gateway с локальным STS. Новое веб-приложение также будет аутентифицироваться против локального STS с WIF.

Могу ли я установить тихий одиночный знак между новым приложением и средой Office365? Таким образом, пользователю не нужно будет входить в Office365 после входа в веб-приложение и наоборот.

Answer 1

Да, вы должны быть в состоянии выполнить это, объединив приложение ASP.NET с Office365 напрямую. Как вы, наверное, уже знаете, как правило, это работает, так как у вас есть Office365, синхронизированный с предварительным AD, и у вас есть доверие, настроенное с помощью ADFS-сервера. Когда вы входите в свое веб-приложение, пользователь перенаправляется в Office365 для ввода своего UPN (как правило, адреса электронной почты). Office365 использует это, чтобы выяснить, на каком сервере ADFS на досрочном переадресовании вам нужно.

Если вы входите в систему из домена, вы получаете аутентификацию сразу через встроенный auth. ADFS перенаправит вас обратно в Office365, чтобы установить сеанс, и Office365 войдет в систему в самом приложении. Если вы находитесь за пределами домена, вам понадобится внешний прокси-сервер ADFS. Там вместо встроенного auth windows этот специальный прокси-сервер ADFS запрашивает у пользователя корпоративные учетные данные, а затем перенаправляет обратно в Office365 так же, как и раньше.

Вот хороший технический документ, который объясняет все это более подробно:

http://www.microsoft.com/download/en/details.aspx?id=28971