呼叫所有 Windows 专家 :)。经过长时间的测试,我能够让 ADFS4.0 与第三方应用程序一起工作。我可以成功导航到第三方应用程序,单击登录并重定向到我的 adfs 联合域并提示登录,登录没有问题,然后登录到第三方站点。
我浏览了有关 ADFS 与 IWA 集成的各种不同文章,无论我做了什么配置,我都会继续收到我不想要的登录要求。
我当前设置的简要演练。请注意,它们不是真实姓名,但我认为我会更容易命名它们,以便让您了解我的设置当前如何。仅托管证书的 ADCS 服务器。adcs.dctestdomain.local 托管测试域 dc.dctestdomain.local ADFS 服务器的域控制器 = adfs.dctestdomain.local。联合服务器场是 adfs.publicdomain.com
我遵循了以下内容:
https ://help.hcltechsw.com/domino/11.0.1/admin/secu_creating_the_spn.html
host/adfs.publicdomain.com dctestdomain.local\SSOTest
spn = http/adfs.publicdomain.com dctestdomain.local\SSOTest
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-iwa
https://help.hcltechsw.com/domino/11.0.1/admin/secu_enabling_iwa_adfs30.html
`Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "MSIE 11.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")`
https://help.hcltechsw.com/domino/11.0.1/admin/secu_enabling_iwa_adfs30.html
在 adfs 服务器和正在测试 adfs 登录的 VM 中进行了适当的更改
我做过的其他事情:
nslookup -debug adfs.publicdomain.com shows that there is an A record and not a cname
(Get-AdfsProperties).WiaEvaluationMethod returns: WiaUserAgentDetection
`Get-ADObject -LDAPFilter "(|(ServicePrincipalName=http/adfs.publicdomain.com(servicePrincipalName=host/adfs.publicdomain.com )"`
显示的值位于以下位置:
`CN=SSOTest,CN=Managed Service Accounts,DC=omitted,DC=omitted SSOTest msDS- GroupManagedServiceAccount`
`Set-AdfsProperties -ExtendedProtectionTokenCheck None`
在内网区域设置fqdn农场,选择使用用户名和密码自动登录(也尝试过仅内网)既不工作设置自动检测内网网络
在受信任的 Internet 区域中设置公共域名并设置相同的设置以用于测试目的。没有负载均衡器
每次我从第 3 方站点重定向时,我仍然必须登录到 ADFS。有谁知道问题可能是什么?出于安全原因,我没有提供真实的域名或帐户名,但我认为我提供了最好的信息。如果您需要更多,请告诉我。任何帮助将不胜感激。