我使用AD FS中的WS Federation选项用于用户登录到我们的网站(WebsiteA
)。现在我们需要为另一个供应商做一个SSO ...可以说WebsiteB
。AD FS刷新令牌之前IdpInitiatedLogin SSO
要做SSO我只需通过我的AD FS启动IdpInitiatedLogin
并且用户登录到WebsiteB。
用户通常在WebsiteA中的每个帐户在WebsiteB中有2个帐户。要登录WebsiteB中的帐户,我们在IdpInitiatedLogin之前从WebsiteA中设置LDS中的一个属性。这为WebsiteB设置了索赔,因此它知道使用哪个帐户。
问题是,当我们在LDS中的相同属性中设置不同的值时,它不会刷新SAML的索赔信息,如网站B所示。
有什么办法可以在IdpInitiatedLogin过程之前刷新SAML /令牌或声明信息,以便用户登录到正确的帐户?
我没有太多的练习,所以我只是抛出可能不太好的想法,因此这只是一条评论......但我相信SAML令牌基本上都是饼干。如果你可以清除cookie,那将有效地刷新令牌。但大多数情况下,我认为你想做的事情不被SAML很好的支持。我知道这一点,我在哪里管理一个小型大学的Google Apps域,并且让一名工作人员同时登录两个Google SSO帐户是一种痛苦。我通常会问需要这样做的人使用两种不同的浏览器。 –
感谢Joel,当我在Cookies中看到Infact时,没有任何Cookies属于SAML。不过,我明白你的观点,但即使刷新也不行。完全失去了这个特定的领域! –