ADFS és autentikáció kérdés

Sziasztok!

Az alábbi a szituáció, és a kérdés, remélem jó hírekkel fogtok szolgálni!

Tetszőleges cég ADFSt vezet be, mert SSOzni szeretne. (kérlek ne vitassuk miért ADFS)

A felhasználók egy (kisebb) része ADben található, ugyanakkor egy (a nagyobbik) része egyéb más rendszerekben, adatbázisokban. (egyszerűség kedvéért legyen Non-AD felhasználó)

1, Megoldható-e az ADFSsel(Win2019-ADFS4.0), hogy ezen Non-AD felhasználók is bekerüljenek a játéktérbe? HA van egy NoSQL adatbázisom, meg tudom-e oldani hogy az ADFS az AD után ott is körülnézzen? Ha ehhez fejleszteni kell, nem baj, itt a lényeg, hogy lehetséges-e, vagy ez kizárt?

2, Megoldható-e az, hogy amikor "megvan" a felhasználó (AD, Non-AD források valamelyikéből), akkor a Claim elkészítéséhez további egyedi "tulajdonság forrást" is felhasználjak?

Teszem azt egy SQL adatbázist, vagy akár egy REST JSON service-t, ahova az ADFS bekérdez?(szintén nem baj ha fejleszteni kell)

Ezen válaszokból aztán az ADFS Claimet gyárt, és mehet ki a Relying Party számára.

Remélem érthető a kérdésem.

Hozzászólások

Szerkesztve: 2020. 08. 14., p - 07:52

Nem fogsz tudni közvetlenül look-up-olni a külső adatbázisban.

Az AD FS ugyanakkor mehet külső SQL-ből, ami tartalmazhatja a külső adatbázisban lévő user-eket. 

Illetve külső szolgáltatót beállíthatsz az AD FS-ben (abban nem vagyok teljesen biztos, hogy ez elsődleges authenticator lehet-e és talán csak Server 2019).

szerk:

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operatio…

Köszönöm a választ Tassadar!

Reménykeltő, mert azzal semmi gond, hogy SQLre "tegyük át" a nem AD usereinket.

Viszont, elolvasva a leírást amit linkeltél, további kérdés merül fel, csak hogy tisztán lássak.

Ezek szerint megoldható, hogy két "elsődleges" authenticator legyen.

" Once an external provider is enabled for extranet, intranet, or both, it becomes available for users to use. If more than one method is enabled, users will see a choice page and be able to choose a primary method, just as they do for additional authentication. "

Az AD userek választják a nekik megfelelőt, a nem ad userek pedig az SQLest (azzal semmi gond nincs, hogy MSSQLre tegyük át, a jelenlegi NoSQLről)

Ezt majd lekommunikáljuk a felhasználók felé, hogy kinek melyiket kell választani

Jó lenne, ha meg lehetne oldani, hogy egy a választás a háttérben történjen meg...de ha ez a felhasználónak kell megtennie, akkor az is elfogadható.

Értelemszerűen ha minden user ADben lenne, akkor ez a kérdés fel sem merülne.

 

2es kérdés esetén az a nehézség, és ezért is merül fel  a Claim "készítése", hogy az AD userek esetében található tulajdonság az ADben, mint attribútum, és van tulajdonság külső adatbázisban, amire egyben lenne szükség.

A nem AD userek meg akkor tulajdonságostól mennének SQLbe. Feltételezem akkor ez így kezelhető lesz

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windo…

Még ha nehezen is de itt hangsúly most az elvi megoldhatóságon vagy megoldhatatlanságon van jelenleg.