我们有广告FS 3.0,运作良好。 一个新的依赖方信托已经build立 – 再次,它运作良好。 但是,对于同一login而言,存在一个业务(安全)要求,而不是单一login,也就是说,我们希望用户每次都需要input其凭据。
为此,我为此依赖方configuration了“自定义主要身份validation策略”, 用户需要在每次login框中提供凭据 。
这似乎不起作用 – 用户从第三方站点redirect到联合身份validation服务器,但是被validation到第三方站点而不被要求input其凭据。
有没有什么明显的我错过了? 我还应该检查什么?
如果您使用的是公司networking,并且使用AD FS认定的浏览器支持Windows集成身份validation(WIA),则最终将使用WIA进行新的login。 但是,不会有任何最终用户中断。 如果configuration正确,它们将使用Kerberos重新validationAD FS。
如果您使用的浏览器不是AD FS的WIA支持的浏览器,例如Firefox / Chrome,则应该看到提示用户再次在基于表单的身份validation页面上input凭据。
浏览器使用WIA的能力是使用名为WIASupportedUserAgents的string数组来控制的。 请参阅https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-intranet-forms-based-authentication-for-devices-that-do-not-support-wia有关如何控制这个列表的细节。
因此,input凭据的最终用户中断明显不表示“用户每次login时都需要提供凭据”。