在使用ws-federation被动的ADFS RP-STS中,您是否可以根据声明的值或存在将用户重定向到备用URL,而不是将它们发送回最初请求的依赖方?
例如,如果用户登录RP-STS并且电子邮件声明不存在,您是否可以将用户重定向到可以输入其电子邮件地址的页面(不在同一依赖方)?
我目前的解决方案是使用转换规则来检测电子邮件地址声明的缺失,并发出一个名为“http://mycompanyurl/claims/redirect " with a value of " http://mycompanyurl/getemail”的新声明 . 然后,我将该声明传递给每个依赖方并期望它们执行重定向 . 此解决方案的明显缺点是每个依赖方都需要实现自定义代码 .
1 回答
鸽子的诀窍可能是"always redirect to a man in the middle" . 该人(相当于申请)将根据索赔和返回网址进行必要的重定向 . 就您的应用程序而言,这是STS,但它使用adfs来获取安全令牌 . 它也可能会重新签署该adfs安全令牌 . 我们使用这种方法来实现"missing claims","ip security token uniformization","terms and condition versioning"等...