none
ADFS + WAP публикация web приложений RRS feed

  • Вопрос

  • Рассматриваем связку adfs + wap как замену TMG для публикации  web приложений. На TMG все публикации с проверкой пользовательского сертификата по требованию ИБ. Есть приложение которое опубликовано следующим образом: TMG проверяет пользовательский сертификат, дальше пользователь аутентифицируется  в приложении локальными учетными данными (учетками самого приложения). Приложение для меня черный ящик, принадлежит другому подразделению и туда меня не пустят. Необходимо что бы adfs проверяло наличие сертификата и не пыталось аутентифицировать пользователя в приложении. Подскажите куда смотреть? И вобще такое возможно?


    • Изменено szagor 27 февраля 2020 г. 11:28
    27 февраля 2020 г. 11:27

Ответы

  • В ADFS поддержка certificate authentication есть, насчёт использования при аутентификации локальных уз - тоже есть, вам нужно будет только правильно claim rule настроить.


    27 февраля 2020 г. 13:06
  • Раз с SAML не умеет, то не сможет работать с claim, которые получит от ADFS, следовательно аутентификацию выполнить вы не сможете. Обычно производитель освещает в документации вопрос интеграции с другими системами (ADFS в том числе), и для многих современных WEB-приложений такая интеграция есть (SalesForce, Miro, Figma etc).

    В вашем случае нужно развернуть тестовые ADFS+WAP и настроить публикацию с claim rules. Далее уже снифферить процесс аутентификации - порекомендую плагин в Firefox, который заточен под SAML, там вы сможете понять в чём будет проблема (расшифровав соответствующий claim).

    28 февраля 2020 г. 6:38

Все ответы

  • В ADFS поддержка certificate authentication есть, насчёт использования при аутентификации локальных уз - тоже есть, вам нужно будет только правильно claim rule настроить.


    27 февраля 2020 г. 13:06
  • Вот с claim rule и затык, certificate autentification естественно настроил
    27 февраля 2020 г. 13:21
  • А в чём затык? Вам нужно сопоставить одинаковый атрибут, который используется в AD (например UPN или mail) и в вашем приложении. Ну и само собой, чтобы приложение умело работать (поддерживало) с claim SAML.
    27 февраля 2020 г. 13:57
  • Затыка два

    Первый в том что это secure OS - вебинтерфейс систем видеонаблюдения и кажеться оно не умеет SAML

    Второй  учетки несопоставимы и на сервер меня не пустят

    27 февраля 2020 г. 14:20
  • Раз с SAML не умеет, то не сможет работать с claim, которые получит от ADFS, следовательно аутентификацию выполнить вы не сможете. Обычно производитель освещает в документации вопрос интеграции с другими системами (ADFS в том числе), и для многих современных WEB-приложений такая интеграция есть (SalesForce, Miro, Figma etc).

    В вашем случае нужно развернуть тестовые ADFS+WAP и настроить публикацию с claim rules. Далее уже снифферить процесс аутентификации - порекомендую плагин в Firefox, который заточен под SAML, там вы сможете понять в чём будет проблема (расшифровав соответствующий claim).

    28 февраля 2020 г. 6:38