使用ADFS和nginx实现单点登录

Question

这将是一个典型的用例，但因为我们对此还不熟悉。我想了解一下认证的意见。

环境- Node.js、Ngnix、Kong和ADFS

要求-我们希望使用ADFS作为我们的提供者，并希望通过ADFS认证Node.js用户。此外，在某些情况下，我们的某个API将在内部调用其他API，也需要对其进行身份验证。

问题- 1.在Ngnix/Kong级别而不是Node.js级别进行身份验证是一个好主意吗? 2.我们正在尝试使用SAML ADFS与Ngnix/Kong集成，但似乎没有太多的模块。3.如何认证一个API XYZ，该API XYZ既可以通过Angular应用通过web浏览器使用，也可以被另一个API内部调用？有使用密钥的选项，但在Ngnix/Kong上是否有任何模块可以让我们在同一端点上进行这两种身份验证？

提前感谢你的回答，这将是一个很大的帮助。

Answer 1

我的建议是在Node.js/npm中使用与SAML2.0兼容的工具包。请不要在Nginx中进行身份验证。这可能只会让你更头疼，因为它更难排除故障。

据我所知，Nginx/Kong和SAML没有模块，这就是为什么我建议在Node中这样做的原因。

要实现ADFS，您可以在所需的任何应用程序中生成SAML断言，该断言将返回某种类型的令牌。API通常已经使用了某种形式的承载令牌。您应该询问的第一个问题是，API的用户是否需要确认某些内容。如果是这样的话，你最好看看OAuth。