Single sign on 如何为WS-Federation实现“IdP优先”场景

ADFS 2.0，WIF WS Federation：我想在用户首先访问IdP网站进行身份验证的场景中实现SSO。在这种情况下，我们的客户拥有内部网门户，其中包含指向我们的服务提供商网站的链接，这实际上会将他们引导到IdP网站，并在用户通过身份验证后立即将他们重定向到我们的网站。我找不到任何关于如何正确实施它的技术细节的信息，有人可以吗

到目前为止，我使用Fiddler获取了指向IdP的重定向链接，并将其用作门户链接，看起来很有效，但我不确定这是否是一种正确的方法。如果你有类似的经验，请分享

---

更新：更详细的用例：我们的客户有自己的内部网门户，并链接到我们的网站服务提供商。我们的想法是避免额外的初始http重定向，并为不同的客户提供单一的入口点，这样我们的网站就可以依靠来自用户的安全令牌来识别客户的身份，在其他情况下，我们应该为任何客户提供单独的uri。用户单击该链接，它会首先引导他进入自己的内部网IdP服务ADFS 2.0，该服务使用他的windows帐户对他进行身份验证，并添加安全令牌，并将他重定向到我们的依赖方网站，在那里我们可以通过令牌识别他和他的组织客户，他可以使用我们的服务。如果场景中出现问题或可疑，请告诉我。

正常情况下，通过FedUtil绑定到ADFS的RP URL是ADFS返回的URL。因此，如果门户绑定到ADFS，听起来就不像是因为您不必登录就可以到达那里？然后，在进行身份验证时返回

---

若您的网站是绑定到ADFS的，那个么用户将转到门户，单击链接，获得身份验证，创建带有声明的令牌，并重定向到您的网站。

您能在用例中提供更多详细信息吗？e、 g.客户登录应用程序，WIF将客户重定向至。。。记录实际行为，然后记录期望的行为。对，第二种情况。我想知道是否有任何在线示例演示了第二个场景，这样我就不必进行补充了。例如，提出的第一个问题是我们的客户到IdP ADF的URL应该是什么样子的。