如果您有4个应用程序要使用ADFS中的OpenID Connect令牌保护它们,SSO如何工作?
这4个应用程序没有用户注册,但他们需要来自IdP(ADFS)的不同声明.您是否需要为每个用户创建4个不同的用户帐户才能登录到所有4个应用程序?
如果每个用户需要4个不同的用户帐户,那么用户是否需要先从app_1注销并在app_2上登录?
我很感激所有的建议.
假设每个应用程序在OIDC模式下从ADFS接收ID令牌,则作为该ID令牌的一部分的每个应用程序将具有对主题/用户ID的访问权,并且可以为该用户配置文件交换该ID令牌.作为OIDC OP运行的ADFS需要配置为为每个应用程序发布正确的声明,当然每个应用程序应该在初始身份验证时请求适当的所需范围,以便ADFS可以授予所需的声明.
每个应用程序都会收到一个ID令牌,并开始建立与该用户绑定的自己的会话.由于应用程序会话独立于SSO会话,因此如果需要实施单点注销,则需要协同工作.