Sziasztok!
Az alábbi a szituáció, és a kérdés, remélem jó hírekkel fogtok szolgálni!
Tetszőleges cég ADFSt vezet be, mert SSOzni szeretne. (kérlek ne vitassuk miért ADFS)
A felhasználók egy (kisebb) része ADben található, ugyanakkor egy (a nagyobbik) része egyéb más rendszerekben, adatbázisokban. (egyszerűség kedvéért legyen Non-AD felhasználó)
1, Megoldható-e az ADFSsel(Win2019-ADFS4.0), hogy ezen Non-AD felhasználók is bekerüljenek a játéktérbe? HA van egy NoSQL adatbázisom, meg tudom-e oldani hogy az ADFS az AD után ott is körülnézzen? Ha ehhez fejleszteni kell, nem baj, itt a lényeg, hogy lehetséges-e, vagy ez kizárt?
2, Megoldható-e az, hogy amikor "megvan" a felhasználó (AD, Non-AD források valamelyikéből), akkor a Claim elkészítéséhez további egyedi "tulajdonság forrást" is felhasználjak?
Teszem azt egy SQL adatbázist, vagy akár egy REST JSON service-t, ahova az ADFS bekérdez?(szintén nem baj ha fejleszteni kell)
Ezen válaszokból aztán az ADFS Claimet gyárt, és mehet ki a Relying Party számára.
Remélem érthető a kérdésem.
- 166 megtekintés
Hozzászólások
Nem fogsz tudni közvetlenül look-up-olni a külső adatbázisban.
Az AD FS ugyanakkor mehet külső SQL-ből, ami tartalmazhatja a külső adatbázisban lévő user-eket.
Illetve külső szolgáltatót beállíthatsz az AD FS-ben (abban nem vagyok teljesen biztos, hogy ez elsődleges authenticator lehet-e és talán csak Server 2019).
szerk:
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operatio…
- A hozzászóláshoz be kell jelentkezni
Köszönöm a választ Tassadar!
Reménykeltő, mert azzal semmi gond, hogy SQLre "tegyük át" a nem AD usereinket.
Viszont, elolvasva a leírást amit linkeltél, további kérdés merül fel, csak hogy tisztán lássak.
Ezek szerint megoldható, hogy két "elsődleges" authenticator legyen.
" Once an external provider is enabled for extranet, intranet, or both, it becomes available for users to use. If more than one method is enabled, users will see a choice page and be able to choose a primary method, just as they do for additional authentication. "
Az AD userek választják a nekik megfelelőt, a nem ad userek pedig az SQLest (azzal semmi gond nincs, hogy MSSQLre tegyük át, a jelenlegi NoSQLről)
Ezt majd lekommunikáljuk a felhasználók felé, hogy kinek melyiket kell választani
Jó lenne, ha meg lehetne oldani, hogy egy a választás a háttérben történjen meg...de ha ez a felhasználónak kell megtennie, akkor az is elfogadható.
Értelemszerűen ha minden user ADben lenne, akkor ez a kérdés fel sem merülne.
2es kérdés esetén az a nehézség, és ezért is merül fel a Claim "készítése", hogy az AD userek esetében található tulajdonság az ADben, mint attribútum, és van tulajdonság külső adatbázisban, amire egyben lenne szükség.
A nem AD userek meg akkor tulajdonságostól mennének SQLbe. Feltételezem akkor ez így kezelhető lesz
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windo…
Még ha nehezen is de itt hangsúly most az elvi megoldhatóságon vagy megoldhatatlanságon van jelenleg.
- A hozzászóláshoz be kell jelentkezni