ADFS и Shibboleth: управление поведением аутентификации Windows
Мы выполняем единый вход с использованием ADFS и Shibboleth SP.
В идеальном мире, Аутентификация Windows будет работать всегда, то есть пользователь обращается к https: // shibboleth / Login? Target =where , перенаправляется на https: // adfs / adfs / ls / SomeSamlRequest , браузер аутентифицирует пользователя в фоновом режиме с помощью некоторой магии Active Directory, и, наконец, пользователь перенаправляется на нужную страницу, не встречая какой-либо формы входа или диалогового окна.
Однако, если это не работает, отображается пользователь диалоговое окно HTTP-аутентификации. Есть ли способ настроить, сколько попыток входа в систему получает пользователь и куда их перенаправить в случае сбоя аутентификации?
Это зависит. Контролируете ли вы AD & Shib IDP & Shib SP? Тогда вы можете сделать это многими способами. Вы можете просто положиться на функциональность AD для блокировки пользователей со слишком большим количеством неудачных входов. Это то, что мы сделали. Если вы контролируете IDP, вы можете связаться с этими парнями: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass Как они делали это раньше (См. раздел: Стекирование модулей входа)
Если вам нужно простое и дешевое решение (но, очевидно, не очень хорошее), вы можете задержать попытки входа на передней стороне, чтобы смягчить атаки грубой силы входа, или даже заблокировать определенное имя пользователя после многих попыток входа.
Есть ли способ настроить, сколько попыток входа получает пользователь?
AFAIK, Internet Explorer пытается аутентифицировать пользователя 3 раза, используя интегрированную проверку подлинности Windows (Windows Integrated Authentication - WIA), прежде чем отобразить запрос. Когда пользователь видит приглашение, я думаю, что он может пытаться столько раз, сколько захочет, но обычно его учетная запись через некоторое время оказывается заблокированной в Active Directory.
и где их перенаправить, когда аутентификация не удается?
В ADFS нет возможности перенаправить пользователя на другую страницу, когда Windows Integrated Authentication не удается.
Если у вас есть поле (например, обратный прокси) между пользователем и вашим ADFS сервером, вы можете разработать что-нибудь, чтобы добавить такое поведение, но это довольно сложное IMHO.
.