我们有以下情况。
基于微软ADFS(sso.company.com)的公共可到达的SSO门户,公共可到达的Citrix Netscaler(netscaler.company.com)私有WebServer(web.company.com)-无法从互联网上到达。
我们设法用ADFS对Netscaler门户进行认证,也可以用ADFS对我们网络内的Web服务器进行认证。
我们的问题是现在配置Netscaler的方式,我们也可以使用SSO登录到web.company.com从外面通过Netscaler。
我希望这有点清楚。
我假设你使用的是SAML而不是OAUTH(应该没有区别)。
web.company.com的SSO是基于SAML的吗?
这个答案是不正确的。Netscaler确实可以做到这一点,我已经做了好几次。
你需要在后端使用Kerberos Constrained Delegation,在前端使用SAMLOIDC。使用Kerberos Constrained Delegation,你可以在没有密码的情况下入侵另一个用户。