我们有一个现有的 ASP.NET 应用程序 (WebForms),它使用自行开发的身份验证。我们的任务是实现单点登录解决方案,并选择使用 WIF。
我们有一个正在运行的应用程序实例,我们通过使用子域(例如 client1.ourapp.com、client2.ourapp.com 等)来识别客户端。在应用程序代码中,我们去掉了第一个子域,它标识了客户端。
我们一直在使用 WIF 概念验证来弄清楚如何在用户通过身份验证后将其重定向回正确的子域。开箱即用的行为似乎是 STS 将用户重定向到配置文件中标识的任何领域。以下是 PoC 配置文件。我正在使用我的主机文件伪造不同的客户端(即 127.0.0.1 client1.ourapp.com、127.0.0.1 client2.ourapp.com)。
<federatedAuthentication>
<wsFederation
passiveRedirectEnabled="true"
issuer="http://ourapp.com/SSOPOCSite_STS/"
realm="http://client1.ourapp.com"
requireHttps="false" />
</federatedAuthentication>
显然这是行不通的,因为我们无法将所有人重定向到同一个子域。
我们认为我们已经想出如何处理这个问题,但想听听外界的意见,看看我们是在以正确的方式做这件事,还是我们只是走运。
我们为 FAM 的 RedirectingToIdentityProvider 事件创建了一个事件处理程序。在其中,我们从请求 URL 中获取公司名称,使用公司名称构建一个领域字符串,设置 SignInRequestMessage 的领域和 HomeRealm,然后让 FAM 做它的事情(即将我们重定向到 STS 进行身份验证)。
protected void WSFederationAuthenticationModule_RedirectingToIdentityProvider( object sender, RedirectingToIdentityProviderEventArgs e )
{
// this method parses the HTTP_HOST and gets the first subdomain
var companyName = GetCompanyName();
var realm = GetRealm( companyName );
e.SignInRequestMessage.Realm = realm;
e.SignInRequestMessage.HomeRealm = companyName;
}
string GetRealm( string companyName )
{
return String.Format( "http://{0}.ourapp.com/SSOPOCSite/", companyName );
}
这看起来是解决问题的合理方法吗?
我们可能会因此遇到任何问题吗?
有没有更好的方法?
最佳答案
您的解决方案听起来不错(明确传递您需要的信息),想到的唯一其他解决方案是使用 Request.UrlReferrer 确定用户来自哪个子域。
关于c# - WIF 和子域,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10319597/