我们正在运行 ADFS 2.0 并与各种 STS 联合。
是否可以与 Windows Live、OpenID 和 Facebook 联合?
我们的一些用户已经拥有这些类型的凭据,能够使用它们将是一个额外的好处。
如果是这样,“添加声明提供者信任”向导中的联合元数据地址将使用哪个 URL?
还有其他陷阱吗?
ADFS 本身并不支持这些 IP-STS 的协议(Windows Live 可能除外)。您需要在 ADFS 和它们之间放置一个理解这些协议(例如PingFederate )的 FP-STS。
我们一直在研究这个问题。
似乎最好的设置是将 ACS 与 AD FS 2.0 结合使用,如本文所述。
此设置还可以启用索赔转换,例如,如果您想将公司客户编号添加为索赔。
但是,我们还没有看到任何可以将 AD FS 2.0 直接连接到 Facebook 的示例。
是的 。没有直接的方法可以从 ADFS 获取声明,需要配置 ACS 并需要将 ACS 设置为 ADFS 的 ID 提供程序。但是 ACS 的令牌验证最长为 24 小时,因此您需要对社交 ID 提供者的短期令牌感到满意。