嗨，外部 IDP 和 shibboleth sp 之间有联合身份验证。在 shibboleth sp 验证相同的响应后，很容易在本地应用程序或 http 标头中使用 server env。我们需要将此身份验证与 ad fs 集成，而不让 ad fs 成为初始 IDP 的服务提供者。

我们想在 shibboleth sp 的登陆页面上创建一个 jwt 令牌，然后强制一个 http 帖子到 ad fs。 ad fs 是否可以通过此 jwt 令牌进行身份验证并将 jwt 声明重新映射到 as 用户以打开经过身份验证的会话？

否则可能会创建一个链，如：

外部 IDP --> shibboleth sp --> ad fs sp

我们认为： 外部 IDP --> shibboleth sp --> shibboleth IDP SSO with sp--> ad fs sp

但是我们不确定是否可以在 sp 和 IDP 之间不添加身份验证

还有其他想法吗？

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）