2

我正在尝试使用 ADFS 2.0 作为我的 RP STS 和 SAML 2.0 身份提供者为 IdentityProvider-Initiated SSO 设置测试配置。这是我的设置:

身份提供者 - 使用 ComponentSpace SAML v2.0 .NET 插件的 SAML 2.0 令牌发行网站。

RP STS - ADFS 2.0 实例与我的 asp.net 应用程序具有 RP 信任关系。

RP 应用程序 - 带有对我的 ADFS 2.0 STS 的 STS 引用的 ASP.NET Web 应用程序 (WIF)。

所以发生的情况是用户登录身份提供者网站并通过身份验证。然后给他们一个到 RP STS 的链接。这个链接(据我了解)应该使用 RelayState 告诉 RP STS 用户需要转发到哪个应用程序。我知道我需要在 ADFS 和我的 IP Web 门户之间建立某种信任,但我不知道那可能是什么。我的问题是我找不到任何好的资源来指导如何做到这一点。我发现的大部分内容都假定 ADFS 也是身份提供者并配置为 SAML 2.0 端点。我正在尝试做的事情是不可能的,还是我只是没有找到合适的资源?

谢谢!

4

2 回答 2

1

您需要在指向您的身份提供者的 ADFS 上设置声明提供者信任。在您的身份提供程序上,将 RP 信任设置回 ADFS。

此外,ASP.NET Web 应用程序需要使用 ADFS,因为它是 STS。

并且索赔需要设置为通过。

请参阅:ADFS 2.0 示例 - 第 1 部分:ADFS 作为 IP-STS 和 R-STS

更新:

在 IP 方面,这是他们的问题。在您这边,手动配置信任。

参考:ADFS:SAML 配置参数

这些问题与输入参数直接相关。

您需要导出 ADFS 令牌签名密钥(无需导出私钥)并将其发送给他们。他们需要向您发送他们的证书。手动设置信任后,单击证书选项卡并导入其证书。

于 2013-04-28T19:34:39.407 回答
0

几个月前我问过这个问题:

  1. 我们创建了一个测试站点,我们使用表单身份验证技术对任何用户进行身份验证,它需要一个身份验证令牌来授权应用程序上的任何用户。
  2. 因此,为了创建这个令牌,我们必须与身份提供者 (IP) 通信以获取经过身份验证的用户详细信息。
  3. 为了与 IP 服务器通信,我们使用 SAML 协议来发送和接收请求和响应。
  4. IP 已经向我们提供了发送和接收 SAML 数据包所需的端点详细信息和证书。
  5. 我们还发送了我们的端点、证书和声明规则,以便他们可以将我们的测试站点配置为他们的 ADFS 服务器作为依赖方。
  6. 由于这一切,我们能够以 SAML 请求的形式将我们网站上的匿名访问重定向到他们的 ADFS 服务器。
  7. 他们还能够处理它并向我们发送包含用户名、用户名、电子邮件等所有详细信息的回复。
  8. 我们使用第三方 .dll 来生成和处理 SAML 请求,名称为:ComponentSpace ( http://www.componentspace.com/ )。
于 2016-06-15T09:45:56.207 回答