Adfs
配置 ADFS 以允許訪問伺服器應用程序並應用身份驗證策略
我的目標是將身份驗證從我的 OIDC 身份提供者(使用身份伺服器 4)委託給 ADFS。在 ADFS 中,我還想配置在該場景中必須使用 MFA。
根據文件和我的解釋,我
Server application
在AD FS -> Application Groups
. 該定義為我提供了一個客戶端 ID 和客戶端密碼,這很好,因為我的 IDP 是一個機密客戶端。委派工作正常。現在的問題是我無法配置應用於該客戶端的身份驗證策略,即使用者在登錄時必須使用 MFA。
Web Api
客戶端定義是唯一允許配置身份驗證策略的(與Native application
和相對)。(在此處Server application
的範例中可見)。我不明白為什麼存在可能的應用程序類型。Web api 不會從 ADFS 請求訪問或 ID 令牌。它只需要驗證令牌。但是和or之間似乎存在一些依賴關係(由於客戶端-伺服器應用程序模板)。Web API``Web API``Native application``Server application
是否有可能以及如何使用身份驗證策略配置機密客戶端?
同時,我在stackoverflow上找到了解決方案。
引用:
這似乎可以通過在同一個應用程序組中定義兩個應用程序來實現:
The server application, which has a client secret in addition to client id The WebAPI application, for which you can define an access policy.
為了完成這項工作,您需要將依賴方標識符(伺服器應用程序的客戶端 ID)分配給 WebAPI 標識符,並確保 WebAPI 應用程序的“客戶端權限”包含伺服器應用程序。
如果訪問策略未成功評估,則依賴方(請求身份驗證的應用程序)將收到 access_denied 消息。