1

我对这些系统的了解并不多,所以如果我提出愚蠢的问题,请原谅我。

我希望实现以下目标:

Idp (AD FS 2.0) -> SAML 2.0 -> Sp (simpleSAMLphp)

*除了简单地验证用户身份之外,我不需要任何花哨的东西。

我尝试将带有 AD FS 2.0(域 A)的 Windows Server 2008 配置为身份提供程序,并让它处理来自不同域(使用 simpleSAMLphp(域 B)创建)上的服务提供程序的身份验证请求。

AD FS 2.0 管理应用程序允许我从 SP 添加原始元 XML 来配置 idp。我的 SP 也有能力做同样的事情。所以我认为如果我正确设置了 idp(AD FS 2.0),那么我只需让 SP 解释 idp 的元数据。

目前我觉得我接近解决方案(但我可能又错了!)。目前,当 Idp 询问您的登录凭据并输入我的凭据时,似乎一切都已找到,似乎会话已开始,但我收到“未授权 - HTTP 错误 401。请求的资源需要用户认证。' 输入正确的登录凭据后的消息。

有人可以解释如何解决这个问题吗?或者,如果使用 SAML 2.0 进行 AD FS 2.0 身份验证的分步设置更快,则只需对用户名和密码进行身份验证。

提前感谢您的任何提示!

4

1 回答 1

0

您是否在 ADFS 2.0 管理中建立了声明提供者信任?您的系统需要接受来自受信任的索赔提供者的带有索赔的令牌。也就是说,无论您在用户存储库前面有什么 STS(“安全令牌服务”)。ADFS 既可以是“依赖方”——RP——也可以是 STS。您需要依赖方和 STS。

查看 Eugenio Pace 的 MSDN 博客了解更多详细信息:

http://blogs.msdn.com/b/eugeniop/archive/tags/federated+identity/

于 2011-01-19T09:30:21.223 回答