我们在Windows Server 2012 R2上运行ADFS 3,并使用C#ADAL库v3从ADFS中为我们的自定义.NET应用程序检索身份验证令牌。无论客户端应用程序是.NET应用程序还是ReactJS应用程序,该想法都是使用ADFS为我们的用户提供AD身份验证,以使用相同的Web标准方法来访问我们的.NET Core Web API。为什么使用ADAL进行ADFS身份验证永远不需要用户输入凭据?
这些应用程序是内部LOB应用程序,所有用户都是使用应用程序时通过Windows登录到AD的内部企业用户。身份验证似乎正在调用ADFS,并为调用用户提供JWT令牌,并且该令牌已成功通过Web API进行检查。
我担心的是,当为Web API触发身份验证时,浏览器窗口会闪烁但不会暂停以强制用户进行身份验证 - ADFS只会为用户响应一个令牌。我希望用户不得不用他们的用户名和密码进行身份验证,至少第一次和密码更改后立即进行身份验证。
这是预期的行为,为什么? This answer是一个不同的问题,但意味着在这种情况下将使用集成Windows身份验证(IWA),除非ADFS配置为强制基于窗体的身份验证(FBA)。
任何人都可以确认这是发生了什么?
谢谢, 彼得
您可以简单地使用Telerik Fiddler来检查HTTP请求中的授权标头以确认。 –