我正在设置一个Web应用程序代理服务器作为反向代理,将我们的一些内部网站发布到互联网上。 我将发布https://portal.workplace.example作为“中心”网站,它将链接到内部托pipe的各种其他网站。 这些网站托pipe在各种不同的服务器上,所以我想使用WAP来利用SSOfunction。 这很好。
其中一个链接是Office 365。我们使用IAMCloud的Federate 365服务(本质上是托pipe的ADFS服务)来validation我们的用户。 使用这意味着外部用户不依赖于我们的互联网连接被激活访问O365,如果我们的连接死亡,他们仍然能够进行身份validation。 但是,这也意味着当用户点击到Office 365的链接时,他们被强制重新进行身份validation。 我想将Web应用程序代理自动收集到外部联合服务的凭据传递给它。 我只是不明白你会怎么做。
我已经添加了外部ADFS农场作为依赖方信任,但是我不知道我需要使用什么声明规则,所以我使用UPN的传递规则作为声明被传递。 我还用WAP和外部联合的URL设置了发布规则,并在testing计算机上更改了hosts文件,使外部联合地址parsing为WAP的IP地址,但这只会导致空白页面。 我完全同意我没有这样做,但是我不确定要从哪里出发。 任何人都可以给我一些build议吗?
非常感谢,
伊恩
Web应用程序代理不收集外部用户凭证 – 用户authentication完全由ADFS完成,ADFS是唯一的WAPauthentication提供者。 正如@MichelZ所说的,你在这里插入一个依赖到你的on-prem目录:-)。
我认为随时随地获得SSO的唯一方法就是将您的所有内部应用程序更改为信任云作为身份提供者。 否则,你仍然有不止一个身份提供者,这基本上消除了SSO的可能性。