我们有一个客户端,我们已经构建了一个webapp,我们允许他们的成员通过他们提供的ADFS服务器通过sso访问这个webapp。在实施webapp后,客户端回到我们面前说我们需要查询数据库表,以确定是否允许通过sso登录的用户访问webapp。我们现在还需要访问此表以确定该用户的帐户类型 - 即他们是员工管理员,付费会员还是免费会员
我已完成多个SAML / ADFS集成,但从未配置过ADFS。我发现很难弄清楚这里最好的做法是什么。我原以为最好的做法是让他们的ADFS服务器完全控制对webapp的访问,并根据用户的某种分组进行限制。我还希望有关用户的关键属性(例如TYPE)在成功登录时返回到响应中。我担心如果我们以他们想要的方式实现,我们根本不会得到一个强大的解决方案。
我真的在寻找关于什么是最佳做法和一些信息的建议,所以我可以轻松回答,因为我觉得他们的IT团队要求我们以特定的方式做事情,主要是试图避免实施他们的东西负责。
感谢您的时间和建议!
答案 0 :(得分:0)
ADFS是基于声明的,最佳做法是根据AD安全组(在ADFS术语中为角色)限制访问,该安全组在令牌中作为声明传递。