我们可以使用多个依赖方在ADFS中实现SSO联合吗？

Question

我有一个设置，其中ADFS有多个服务提供者(SP)，ADFS充当身份提供者，使用Active Directory作为名称ID存储。

现在所需的场景是用户遵循以下步骤: Step1:用户尝试访问应用程序1，并由SP1重定向到身份提供者进行身份验证。Step2:在身份验证之后，用户被重定向回应用程序，并带有一个SAML响应。Step3:现在用户想要访问应用程序2，SP2将用户重定向到IDP，但她不想被Idp重新验证。我们希望设置单点登录，以便用户不必多次登录。

我们是否可以通过配置ADFS来在SP之间建立信任，而无需进行身份验证？也许有一些配置通知ADFS，以便不再要求凭据？

我将Windows Server R12上的ADFS2.1用作我的IDP，并将Oracle weblogic服务器用作服务提供者。我的应用程序部署在这些weblogic服务器上。

​

​

Answer 1

我没有使用Oracle Weblogic作为SP的经验，我的经验是.NET和Windows Identify Framework。但是，如果您已经在ADFS中为每个SP设置了依赖部分信任(RPT)，在您使用ADFS for SP1进行身份验证后，当您尝试访问SP2时，如果SP将您重新定向到ADFS进行身份验证，ADFS应该会识别您已经进行了身份验证(由于使用cookied访问令牌)，并向您发出特定于SP2的SAML响应，而无需进行额外的身份验证。在ADFS3.0 (Windows Server2012MFA)中，多因素身份验证可以发挥作用，因此如果不涉及R2，这将是正确的。

在通过SP1身份验证后，您当前是否遇到第二次SP2登录提示？

Answer 2

我发现，当我启用额外的IDP时，所有重新身份验证都会再次强制选择IDP，从而失去正常的SSO体验。