标签: adfs2.0

任何人都可以向我解释SP发起的SSO和IDP发起的SSO之间的主要区别是什么,包括哪个是与ADFS + OpenAM Federation一起实现单点登录的更好解决方案？

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier应该使用什么类型的声明？

这是主要问题,这里还有其他问题.

它与http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name索赔有什么不同？

对于特定用户而言,与名称声明相反,它是永久性的吗

它是全局范围的还是IdP范围的？

我有一个情况,我们有一个MVC 2应用程序(我尝试使用基本的MVC 2应用程序,没有任何额外的东西,仍然是同样的问题),并使用adfs 2来验证我的用户.

所以..现在我进入我的应用程序,我得到以下.. ID3206:SignInResponse消息可能只在当前Web应用程序中重定向:'/ [app]'是不允许的.描述:执行当前Web请求期间发生未处理的异常.请查看堆栈跟踪以获取有关错误及其源自代码的位置的更多信息.异常详细信息:Microsoft.IdentityModel.Protocols.FederationException:ID3206:SignInResponse消息只能在当前Web应用程序中重定向:不允许使用'/ [app]'.

我已经阅读了大部分博客,并发布到一个..

    <federatedAuthentication>
            <wsFederation passiveRedirectEnabled="true" issuer="https://auth.[domain]/adfs/ls/" realm="https://[development domain]/[app]/" requireHttps="true" />
            <cookieHandler requireSsl="true" />
          </federatedAuthentication>
<audienceUris>
    <add value="https://[development domain]/[app]/" />
  </audienceUris>

1. 我对领域和观众有一个尾随的斜线.
2. 我已将他建议的内容添加到Application_BeginRequest中 - 然后我将代码复制到[开发域],就像证书所在的那样..它只是陷入了无限循环.
3. 我还检查了日内瓦服务器上的依赖方..标识符和端点(POST)都是https:// [开发域名]/[app]/ - 再次使用尾部斜杠

我认为这是一个MVC应用程序的问题,我已经在default.aspx页面创建了许多Claims Aware网站并获得了我的声明等.我的想法是,与MVC应用程序有关的路由以某种方式将其错误地发布？

任何帮助真的有点像我正在看这个安静一段时间现在无济于事..

Ĵ

我们有一个使用WIF的ASP.NET应用程序.我们的web.config文件有一个这样的部分:

<audienceUris>
    <add value="https://someapp.mycompany.com/App/" />
</audienceUris>
<federatedAuthentication>
    <wsFederation passiveRedirectEnabled="true" issuer="https://adfs.mycompany.com/adfs/ls/" realm="https://someapp.mycompany.com/App/" requireHttps="true" />
    <cookieHandler requireSsl="false" />
</federatedAuthentication>

每个例子中,我看到两个audienceUris和realm值是相同的.这两者有什么区别？我们俩都需要它们吗？

我们的一个Web应用程序希望与ADFS 2.0服务器连接以获取凭据令牌并基于此检查用户角色.ADFS服务器管理员要求我们为他们提供联合元数据XML文件,以便他们创建信赖方信任.我用谷歌搜索,只找到如何使用URL下载ADFS服务器的联合元数据XML - https:// [adfs服务器名称] /federationmetadata/2007-06/federationmetadata.xml但是找不到任何创建联合元数据XML的指南创建" 信赖方信任 "和" 索赔提供商信托 ".是否有用于创建这些元数据文件的工具？请分享一些如何创建的想法.

谢谢

鲁

回答我自己的问题:

我在http://www.microsoft.com/en-ca/download/details.aspx?id=4451上的WindowsIdentityFoundation-SDK-4.0中找到了联合实用程序工具.

我使用ADFS获得了许多浏览器错误消息,所有形式.

访问该网站时出现问题.尝试再次浏览该网站.如果问题仍然存在,请与此站点的管理员联系并提供参考编号以确定问题.参考编号:c14bcf7c-268d-46be-82c3-7c1d873c3df2

我试图在事件日志中找到这些无济于事.

您如何使用参考编号来追踪错误？

所以,为ADFS 2.0身份验证配置了网站...

对于IE - 它工作正常,认证正确

对于Chrome - 它会重定向到AD FS服务器...要求进行身份验证但无法进行身份验证.

我尝试使用fiddler请求,但它没有显示任何有趣的内容 - 所以表明我们重定向到adfs进行身份验证,但仅此而已

可能是什么？为什么不能对chrome进行身份验证

谢谢

我有一个网站试图在另一个网站上调用MVC控制器操作.这些站点都设置为AD FS 2.0中的信赖方信任.在两个站点之间的浏览器窗口中打开页面时,一切都经过身份验证和正常工作.但是,当尝试使用jQuery AJAX方法从JavaScript调用控制器操作时,它总是失败.这是我正在尝试做的代码片段......

$.ajax({
  url: "relyingPartySite/Controller/Action",
  data: { foobar },
  dataType: "json",
  type: "POST",
  async: false,
  cache: false,
  success: function (data) {
    // do something here
  },
  error: function (data, status) {
    alert(status);
  }
});

问题是AD FS使用JavaScript将隐藏的html表单发布到依赖方.当使用Fiddler进行跟踪时,我可以看到它到达AD FS站点并返回此html表单,该表单应该发布并重定向到经过身份验证的控制器操作.问题是这个表单由于ajax请求而返回,并且显然会因解析器错误而失败,因为ajax请求需要来自控制器操作的json.看起来这是一个常见的场景,那么从AJAX与AD FS进行通信并处理此重定向的正确方法是什么？

我们有一个ADFS 2.0环境,用于将我们的Active Directory域与Office 365联合.

最近我们遇到了一个问题,即群集停止响应,这反过来破坏了我们所有用户的电子邮件/日历访问.由于我们目前没有对ADFS进行任何监控,因此我尝试编写一个PowerShell脚本,该脚本将定期尝试对我们的ADFS集群进行身份验证,并获得类似于testexchangeconnectivity.com上的SSO测试的有效令牌.

似乎令牌实际上是由.颁发的

/ ADFS /服务/信托/ 2005/usernamemixed

但每当我尝试针对此URI运行invoke-webrequest或new-Webservice代理并提供本地AD凭据时,我会收到400 Bad Request错误.

为了从此端点正确请求令牌,我该怎么办？

我们使用客户ASP.NET按钮注销我们的Web应用程序,该应用程序使用ADFS进行身份验证.我们已经尝试了几个选项来尝试让应用程序正确注销,但似乎没有任何效果.

它通常会将您带到联合服务器上的注销页面,该页面表示您已正确注销,但如果您回滚,您仍然可以访问该Web应用程序.

尝试:https:// {DNS_name_of_RP_STS} /adfs/ls/?wa=wsignout1.0

https:// {DNS_name_of_RP_STS} /adfs/ls/?wa=wsignout1.0&wreply= {post-sign-out_landing_URL}等

有没有人让这个工作正常？

谢谢你的时间