Single sign on 使用ADFS实现单点登录

我是ADFS/SSO领域的新手，目前正在为基于Java的web应用程序和Windows本机代理开发使用ADFS实现单点登录（SSO）的功能

以下是我们的要求：

如果用户已使用其域凭据登录系统，则应自动（不要求提供用户名/密码）登录到我们的windows代理

即使在公司网络之外，解决方案也应该有效

我一直在网上阅读，但事情仍然令人困惑。我有以下问题：

基于kerberos的身份验证是否符合我的要求

它可以与AD FS集成吗？这样即使用户不在公司网络中，解决方案也能正常工作

或者还有其他解决方案吗？我们的产品基于Java，使用Spring框架

提前感谢,， Praveen用户应自动登录

如果浏览器为IWA正确配置，则此功能将正常工作

即使在公司网络之外，解决方案也应该有效

否-Kerberos不起作用，因此您必须使用FBA

它可以与AD FS集成吗？这样即使用户不在公司网络中，解决方案也能正常工作

是-您还需要安装ADFS WAP。使用拆分DNS。直接指向ADFS==IWA的内部用户。外部用户直接访问WAP=FBA

我们的产品基于Java，使用Spring框架

使用弹簧SAML

对于桌面，您有一个问题。SAML依赖于浏览器重定向，所以您需要一个嵌入式浏览器或其他东西。您可以使用OpenID Connect/OAuth（restapi），但是您已经用ADFS 2.0标记了这个问题，而ADFS 2.0没有这样的支持

---

在Windows世界（WPF、通过C#等的控制台），桌面通过WCF连接到ADF。

实际上，在ADFS 2016中，使用加入Windows 10域的设备，它们也可以进行Azure广告注册。通过设备回写，ADFS中有一个SSO工件集成到Windows 10桌面登录中。在这个世界上，您还可以从外部网获得桌面SSO

对于Java应用程序，如果要使用OAuth协议，则应使用Spring MVC或仅使用J2E过滤器（或最坏情况下：使用Spring Security）+对于ADFS+，如果要使用OpenID Connect协议

---

使用将更容易且一致地支持多种协议。

谢谢您的回答。但我也可以在windows桌面应用程序中使用它吗？好的。我可以使用ADFS 3+OAuth并实现web和客户端SSO吗？是否有相同的流行java/spring插件？否-ADFS 3.0仅支持OAuth for webapi，没有OpenID Connect支持，您需要ADFS 4.0（Server 2016）-将于9月推出。如果没有AAD，SSO可以实现吗？我有一个类似的情况，客户端是.net应用程序（在内部网上的win7/8/10加入域的机器上运行），服务器是java（tomcat）外联网。我可以在客户端和Spring saml上使用WIF来实现这一点吗？