我一直在使用 ADFS 对 AD 用户进行身份验证,使用 VS 中的声明感知模板。我们的一些用户不会在 Active Directory 中,所以我想知道是否可以配置 ADFS 为这些用户查找 SQL Server,然后照常进行。
是一个类似的问题,只有一个人说可以,而另一个人说你不能。
问问题
7167 次
1 回答
15
AD FS 2.0只能针对 Active Directory (AD DS) 进行身份验证。这在官方 AD FS 2.0 文档中没有明确记录,但它来自以下两个片段:
- AD FS 1.x 设计指南中的“附录 A:审查 AD FS 要求”,“帐户存储要求”部分说,“AD FS 支持两种类型的帐户存储:Active Directory 域服务 (AD DS) 和 Active Directory 轻型目录服务 (AD LDS)。”
- “计划迁移到 AD FS 2.0”说,“以下是 AD FS 2.0 不再支持的 AD FS 1.x 功能和方案:[...] AD LDS 用作帐户存储”。
因此,没有基于 SQL Server 或其他方式的自定义身份验证存储。
(关于其他属性存储的另一个问题:这是可能的。)
在回答您提到的其他问题时建议的解决方案有点误导。如果您阅读实际的博客文章,您会发现他们添加了额外的 STS。AD FS 2.0 对该其他 STS 具有“声明提供者信任”,并重定向到它(如果“主域发现”设置正确)。然后,其他 STS 以它喜欢的任何方式执行身份验证,将令牌发送回 AD FS,然后运行其声明规则。
因此,在该解决方案中,它不是针对非 AD 存储进行身份验证的 AD FS 2.0,而是重定向到针对该存储进行身份验证的 STS。
于 2011-02-08T21:26:39.477 回答