SSO (Single-sign-on) und ADFS (Active Directory Federation Services) mit Ruby On Rails

Ich versuche zu verstehen, wie die Integration von SSO (Single sign-on) und ADFS (Active Directory Federation Services) in einer bestehenden Ruby On Rails-Anwendung gehostet auf einem linux-Umgebung serviert von nginx.

Berücksichtigung einer partner (ein Unternehmen, mit Active record-Verzeichnis) und eine Dienstleister (der rails-Anwendung).

Scheint es, dass der service-provider web-server ausführen müssen, eine ADFS-Web-Agent, der sich um die Authentifizierung der partner und letztlich leiten den Benutzer auf die rails-app mit einem token ein, eine Forderung, die verwendet werden, um den Benutzer zu identifizieren in der app.

Meine größte Sorge ist, über dieses ADFS-Web-Agent:

Verstehe ich richtig, dass es ausgeführt werden muss, auf service provider-Seite ? (Ich bin nicht daran interessiert, auf der partner-Seite). Wenn ja, was wäre der beste Weg, sich zu integrieren ADFS SSO mit unserer app, serviert von nginx auf einem linux-OS? Brauche ich einen windows-server mit einem federation server ?

Vielen Dank im Voraus für jede Hilfe!!!

  • Verwenden Sie auszudenken oder omniauth? Ich hatte eine ähnliche situation konfigurieren der Einzelanmeldung für shibboleth/touchstone und fand eine omniauth-Strategie für Sie.
InformationsquelleAutor Olivier Rosset | 2015-05-18
  1. 2

    ADFS Griffe zwei Protokolle, WS-Fed und SAML. ADFS 3.0 behandelt den Freischaltcode Zuschuss in OAuth 2.0 (aber nicht OpenID Connect),

    So, um deine Rails app. zu sprechen, ADFS, die es braucht, um als support für die Protokolle.

    Kann, wenn Sie das tun, gibt es keine Notwendigkeit für einen anderen server.

    Vielleicht so etwas wie ruby-saml.

    Schau mal hier: SAML 2.0 SSO für Ruby on Rails?

    Den anderen Ansatz ist die Verwendung von OAuth /RUHE, um sich zu einigen intermediate federation server und dann auf SAML - /WS-Fed auf der anderen Seite heraus.

    Auth0 und Ping-Verbund die Unterstützung dieser Art von Ansatz.

    InformationsquelleAutor nzpcmad
  2. 2

    Lesen diese ausgezeichnete post. Praktisch und klar.

    InformationsquelleAutor icalvete
  3. 1

    Wenn Sie mit omniauth oder wenn Sie sind in der Lage, es zu benutzen haben Sie einen Blick auf diese: https://github.com/highgroove/omniauth-saml-rstr

    • Bedeutet, dass bedeutet, dass ich nicht brauchen, ein AD FS-web-agent, wie in diesem Dokument angegeben? msdn.microsoft.com/en-us/library/bb897402.aspx
    • Ich hatte immer noch die Einrichtung einer shibboleth/SAML-service-provider zur Kommunikation mit dem campus-Netzwerk, so dass ich denke, Sie werden wahrscheinlich haben, etwas ähnliches zu tun.
    • NEIN - das ist eine sehr alte Referenz zu Server 2008 und bezieht sich auf ADFS 1.1. In Server 2008 R2 ADFS 2.0 wurde eine Download-Komponente und der agent-Konzept wurde verschrottet. Das aktuelle Niveau liegt ADFS 3.0 auf Server 2012 R2.
    • Vielen Dank für das heads-up. Nach diesem doc für ADFS 2.0 technet.microsoft.com/en-us/library/dd807050(v=ws.10).aspx es scheint, dass werde ich noch brauchen, um eine resource federation server läuft auf meiner Seite, die sich um die Authentifizierung mit identity provider Recht ?
    InformationsquelleAutor errata
Schreibe einen Kommentar