Simple-Cloud-Iconscenariusz: aplikacje office365 + ADFS. wdrożona integracja.

realizacja SSO: da się skonfigurować całe rozwiązanie tak, żeby z dowolnej przeglądarki mieć logowanie SSO – automatyczne przekazanie tokena, bez konieczności podawania hasła. wymaga to trochę gimnastyki, ale da się zmusić zarówno Edge, Chrome oraz FF. innych nie testowałem, ale nie widzę powodów, dla których by nie miało działać.

linki może kiedyś w innym wpisie a tymczasem coś, o czym rzadziej się mówi – czyli zdrady z tym związane.

  1. SSO – czyżby? nie tak do końca. ze względu na przekierowania i obsługę domeny, trzeba wpisać przynajmniej nazwę użytkownika. owszem – jeśli z rozwiązania się korzysta, to nazwa jest zapamiętana i wystarczy kliknąć. jeśli użytkownik posiada konto w o365 o takiej samej nazwie jak liveID to dochodzi ekran wyboru work account\live id.
    tylko IE da się zmusić do tego, żeby w pełni automatycznie przekazywał token logowania – choć nie jestem pewien czy nie ma tu też jakiegoś scenariusza z wyjątkiem.
  2. kiedy skonfigurowany jest pełny automat, to dla osób posiadających kilka kont – np. konto administracyjne, jest pewna zdrada: choćby na ekranie logowania w ADFS po stronie chmury wpisać konto administracyjne, po przekierowaniu na lokalnego ADFS pobrany już zostanie token z lokalnej sesji i zostaniemy zalogowani na konto użytkownika, w którego kontekście właśnie pracujemy. w praktyce oznacza to, że dla osób z dostępem administracyjnym, są dwie metody:
    1. maszyna wirtualna poza domeną/inny login
    2. konfiguracja SSO tylko dla wybranych przeglądarek tak, żeby mieć jakiś wybór do logowania innym kontem

niby oczywiste ale … spodziewałem się że wystarczy pornomode. ale również w trybie private token jest automatycznie pobierany i przekazywany. ot taka ciekawostka.

eN.