WIF and Subdomains

我们有一个现有的 ASP.NET 应用程序（WebForms），它使用自主开发的身份验证。我们的任务是实施单一登录解决方案，并选择使用 WIF。

我们有一个正在运行的应用程序实例，我们使用子域（例如 client1.ourapp.com、client2.ourapp.com 等）来识别客户端。在应用程序代码中，我们剥离了第一个子域，该子域标识客户端。

我们一直在使用 WIF 概念验证来弄清楚如何在用户进行身份验证后将用户重定向回正确的子域。开箱即用的行为似乎是 STS 将用户重定向到配置文件中标识的任何领域。以下是 PoC 配置文件。我正在使用我的主机文件伪造不同的客户端（即 127.0.0.1 client1.ourapp.com、127.0.0.1 client2.ourapp.com）。

<federatedAuthentication>
    <wsFederation 
        passiveRedirectEnabled="true" 
        issuer="http://ourapp.com/SSOPOCSite_STS/" 
        realm="http://client1.ourapp.com" 
        requireHttps="false" />
</federatedAuthentication>

显然，这是行不通的，因为我们无法将每个人重定向到同一个子域。

我们认为我们已经想出了如何处理这个问题，但希望外界就我们是否以正确的方式做这件事或我们是否只是幸运地提出意见。

我们为 FAM 的 RedirectingToIdentityProvider 事件创建了一个事件处理程序。在其中，我们从请求 URL 中获取公司名称，使用公司名称构建一个领域字符串，设置 SignInRequestMessage 的领域和主领域，然后让 FAM 做它的事情（即将我们重定向到 STS 进行身份验证）。

protected void WSFederationAuthenticationModule_RedirectingToIdentityProvider( object sender, RedirectingToIdentityProviderEventArgs e )
{
    // this method parses the HTTP_HOST and gets the first subdomain
    var companyName = GetCompanyName();
    var realm = GetRealm( companyName );
    e.SignInRequestMessage.Realm = realm;
    e.SignInRequestMessage.HomeRealm = companyName;
}
string GetRealm( string companyName )
{
    return String.Format( "http://{0}.ourapp.com/SSOPOCSite/", companyName );
}

这似乎是解决问题的合理方法吗？

我们是否因此可能遇到任何问题？

有没有更好的方法？