联邦安全,单点登录和安全令牌共享
问题描述:
在单点登录(SSO)情况下,如果所有的应用程序都在同一个域/公司运行,联邦安全,单点登录和安全令牌共享
- 是相同的安全令牌的所有应用程序之间共享(依赖方)哪些用户通过相同的通用身份提供商/安全令牌服务进行身份验证?什么是STS的默认行为? 例如用户A登录到应用程序X.一段时间后,她尝试访问应用程序Y.由于她已由同一STS进行身份验证,并且如果发给她的令牌仍未过期,她将不必提供凭据访问应用程序Y.
- 我的理解是,如果令牌包含所有依赖方/应用程序要求的所有声明,则可能是可能的。但这是一个好习惯吗?
- 当用户A连接到应用程序Y时,令牌的(当用户登录到应用程序X时发出)到期时间是否可以扩展/重置?
答
WIF意味着ADFS通常,
是只要所有RP都使用相同的STS。
否 - 在ADFS中,每个RP都有自己的声明配置。所以生成的令牌是不同的(尽管你可以简单地复制配置,如果你想的话)。
在WIF中,是的。您需要使用“sliding token”机制。
感谢您的回答。我有点困惑,因为在第一点,你说过,同样的道理是共享的,但是在第二点,你说的是不同的标记产生的! 关于第一点:如果令牌是共享的,我认为它会拥有所有依赖方需要的所有权利。通过安全令牌向RP提供有关不必要/额外索赔的信息是否正确? – Learner
这里有两件事。 ADFS具有控制认证的会话cookie。索赔作为SAML令牌发送。他们不一样。不,该cookie不包含索赔。不,索赔旨在发送尽可能多的数据。 – nzpcmad