通过与内部部署AD集成,为AWS上的应用程序启用SSO

问题描述 投票:0回答:1

对于部署在AWS上的报告应用程序,需要为用户启用SSO以访问它 -

  1. 用户只能在公司网络内从办公室PC访问应用程序。
  2. 应用程序端点受API网关保护,仅允许从内部公司网络进行访问。
  3. 用户单击报告应用程序的URL后,应该使用企业AD对登录用户进行身份验证,以确保登录用户是有效用户,并且他们属于允许访问权限的正确AD组。应用。
  4. 如果传递了身份验证和授权检查,则应用程序应允许访问用户,或者提示登录页面手动输入凭据。

你能告诉我们设置这个的最佳方法是什么?我们在我们的公司基础架构上部署了ADFS(不确定版本),因此想知道我们是否可以使用它,或者依赖Windows Kerberos身份验证来获取令牌以允许用户访问。什么是更好的方法或更重要的是什么会更快设置。对SSO和ADFS一般都是全新的,所以感谢您的回复。

谢谢! Ronak

amazon-web-services active-directory single-sign-on kerberos adfs
1个回答
0
投票

我建议您使用ADFS,因为与Kerberos相比,将Web应用程序与ADFS集成起来要容易得多。

Kerberos可能很棘手。我看到你提到报告应用程序只会在公司的内部网络中使用,但你仍然可能会遇到Kerberos的麻烦,因为它需要在最终用户计算机上安装某些浏览器。在Windows上,您必须确保一些IE设置:

  • IE - > Internet选项 - >安全 - >本地Intranet - >自定义级别 - >确保选中“仅在Intranet区域中自动登录”。
  • IE - > Internet选项>高级 - >确保“启用集成Windows身份验证”已启用
  • 您很可能还需要将报告应用程序URL添加到每个用户PC上的Intranet站点和受信任站点列表中(如果您使用应用程序的自定义域名,即不是域中的本地服务器名称) )
  • 除IE之外的其他浏览器可能需要不同的设置,您可以阅读more details here

我相信使用AD组也有点复杂,因为您只能从Kerberos令牌获取用户名。然后,您必须直接向AD拨打一个额外的电话才能找到用户的组。使用ADFS,您可以直接从令牌获取组(作为声明)。

这是一本关于如何将您的Web应用程序与ADFS集成的好手册:https://auth0.com/docs/connections/enterprise/adfs

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.