问题标签 [adfs2.0]

我目前正在评估在 .NET SOA 环境（ASP.NET MVC、WCF）中实施身份验证和授权的方法。

我得出的结论是，使用带有 STS 的 Windows Identity Foundation 应该满足我们的标准。

我很难找到任何合适的 STS 与 ADFS 以外的 WIF 一起工作。我知道有多种选择，但没有可用的文档/经验，它们与 WIF 的配合如何。

总结总结，多个问题：

这是愚蠢的想法吗？

有什么STS产品可以和WIF一起流畅玩吗？有这方面的资源吗？

是否有产品允许我实施集中式（但可扩展）授权（即使支持 XACML）？

将 WSO2 身份服务器与 ADFS/WIF 结合使用是什么体验？

WSO2 Identity Server 具有一些 XACML 功能，但是如何在 WCF 服务的授权中使用这些功能？

我正在客户端上缓存 ADFS 2.0 发出的令牌，并在调用服务时多次使用它。

在生产环境中，我想确保客户端可以缓存的令牌在几分钟后过期。我已经读到 ADFS 2.0 中的令牌在 10 小时后过期，但我找不到可以更改依赖方令牌过期时间的地方。

这就是我目前从 STS 请求令牌的方式：

我尝试将WEB SSO时间设置为两分钟，但似乎没有任何影响。

在 ADFS 上配置过期时间的正确位置是什么？

我有以下情况：

活动目录 1：WCF 客户端、ADFS 2.0 (STS)

Active Directory 2：WCF 服务（依赖方）

我已将 RP 添加到 ADFS，但是当我从 ADFS 请求令牌时，收到以下错误：System.ServiceModel.FaultException: ID3242: 无法对安全令牌进行身份验证或授权。

查看 ADFS 的事件日志，我发现匹配错误：

尝试为指纹“XXXXXXXXXXXX”标识的信赖方信任“http://XXXXXX/Service1/”证书构建证书链时出错。可能的原因是证书已被吊销，无法验证依赖方信任的加密证书吊销设置指定的证书链或证书不在其有效期内。

您可以使用 AD FS 2.0 的 Windows PowerShell 命令来配置依赖方加密证书的吊销设置。信赖方信任的加密证书吊销设置：CheckChainExcludeRoot 构建证书链时发生以下错误：未知错误。未知错误。

User Action: 请确保信赖方信任的加密证书有效且未被撤销。如果吊销设置未指定“无”或“仅缓存”设置，请确保 AD FS 2.0 可以访问证书吊销列表。验证您的代理服务器设置。有关如何验证代理服务器设置的详细信息，请参阅 AD FS 2.0 故障排除指南 (http://go.microsoft.com/fwlink/?LinkId=182180)。

看起来 ADFS 不信任来自 RP 的签名证书（可以理解，颁发签名证书的 CA 位于不同的 AD 中）。CertificateRevokationList 可从两个 Active Directory 访问。

我已将 CA 证书添加到“本地计算机”的受信任根证书中，但我认为问题在于验证机制。

我必须进行哪些配置才能让 ADFS 颁发使用正确证书签名的令牌，或者如何让 ADFS 相信证书有效？

编辑：

我尝试使用 powershell 命令更改吊销检查：

但没有运气： Set-ADFSRelyingPartyTrust ：无法使用指定的命名参数解析参数集。

编辑2：这有效：

但现在我在 Active Directory 1 中的客户抱怨证书......

System.ServiceModel.Security.SecurityNegotiationException：与目标“http://XXXXXXXXXXXXXXXXXX/Service1/”的“http://XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/Service1/”的 SOAP 安全协商失败。有关更多详细信息，请参阅内部异常。---> System.IdentityModel.Tokens.SecurityTokenValidationException: X.509 证书 CN=RP-Service 链构建失败。使用的证书具有无法验证的信任链。更换证书或更改 certificateValidationMode。无法将证书链构建到受信任的根颁发机构。

想象一个公司内部有许多部门的 Intranet，例如：

\家

….\A区

….\B 区

….\C 区

….\D 区

…</p>

....\第 XXX 分部

有很多部门——大约 50 个。本质上，每个部门本质上都是一个单独的网站。

目前使用的是WIA。

现在该公司（以 Microsoft 为中心）希望与其他组织建立 SSO，因此他们决定安装 ADFS v2。

然而，一些部门不喜欢这个想法。

如果我们 FBUtil 基础级别的 web.config，那么整个站点都将受到保护。

为了保护某些部门而不是其他部门，我想我们可以为那些需要 ADFS 的部门级别的 web.config 进行 FBUtil 配置，但这很快就会成为维护的噩梦，因为它们太多了。

有没有更好的方法来允许 ADFS 跨某些部门，但让一些部门仍然像现在一样进行身份验证。

我可以在 java 应用程序中使用 adfs2 吗？我想在java中实现单点登录。我已经阅读了一些他们提到您需要 .net 框架的文章。

我安装了 AD FS 2.0，并在域外的另一台机器上安装了 WIF 和 VS2010。

我创建了一个 ASP.NET MVC 3 应用程序并通过添加 STS 引用向导进行配置，它从我的 AD FS 下载了 FederationMetadata.xml。

我在 AD FS 中添加了依赖方信任，为我的 MVC 应用程序 (http://localhost:16034/) 的 URL 指定了标识符，并创建了一个声明规则，即传递或过滤传入声明，以及传入声明类型是 Windows 帐户名称。

我还在 WS-Federation 的 RP 中添加了一个端点，URL 是https://192.168.56.101/adfs/ls/，这是我的 AD FS IP 地址。

然后，当我启动网站时，它被重定向到 AD FS，即https://192.168.56.101/adfs/ls/?wa=XXXX&wtrealm=XXXXX。但最后我得到一个错误页面，说该页面有参考代码错误。

我检查了 AD FS 机器，发现错误是

MSIS7001：被动协议上下文未找到或无效。如果上下文存储在 cookie 中，则客户端提供的 cookie 无效。确保客户端浏览器配置为接受来自该网站的 cookie，然后重试此请求。

但问题是，当我使用 Fiddler 时，我可以看到我的 HTTP 请求带有诸如 MSISAuth = XXXXX MSISAuth1 = XXXXX MSISAuthenticated XXXXX MSISLoopDetectionCookit XXXXX 之类的 cookie

我做错了什么？

当用户更改页面上的任何值（文本框/LOV）并错误地关闭选项卡/取消按钮时，我需要显示自定义弹出警告消息。

我尝试过的选项是：

a) 在应用程序中，我们为 7 个不同的场景使用复杂的任务流/RegionModel。还要求显示自定义消息 - 因此无法使用“未保存数据警告”方法

http://www.oracle.com/technetwork/developer-tools/adf/unsaveddatawarning-100139.html

b）我尝试的第二个选项是自定义区域控制器：CustomRegionController implements RegionController

在 validateRegion(RegionContext regionContext) 内部想查找页面数据是否脏

或者

在这两种情况下，它始终为真（似乎是由于在页面加载时呈现数据时，一组常见的 VO/View Link 应用程序模块总是变脏）。

我剩下的最后一个选项是为每个元素（textbaox、LOV、复选框）调用 valueChangeListener。我根本不喜欢这个选项。请建议是否有更好的方法来处理这种情况。

我需要检查特定用户是否存在于 Active Directory 中ADFS。

所以，我希望我的ADFS使用check user Authentication 用户名/密码。

任何人都可以提供相同的示例代码或教程。

提前致谢！

我需要一个 Metro Style 应用程序，它不能使用被动身份验证，也没有 WIF。

到目前为止，我已经设法从 ADFS 2.0 获得了 SAML 令牌。我现在需要将此令牌发送到 login.MicrosoftOnline.com，它会返回给我一个 SWT 令牌以提供给 [mysite].sharepoint.com，它会给我 cookie 以包含在 REST 请求中。

ADFS 2.0 和 login.MicrosoftOnline 都使用 WS-Trust。我在网上找到了许多示例，展示了如何将令牌请求发送到 MicrosoftOnline，但它们都依赖于发送用户名和密码。但是，在这种情况下，MicrosoftOnline 无权直接验证密码。我唯一的选择是给它 SAML 令牌。

使用被动身份验证时，我使用的用户名和密码可以正常工作，因此凭据不是问题。

样本可以是任何语言（克林贡语除外），但首选 .Net。

我正在尝试构建一个使用 ADFS 和声明的系统。目前，这只是一个“玩具”实现。

我构建了一个非常简单的 MVC Web 应用程序，使用 Visual Studio 中的“身份和访问...”向导对其进行设置，以与 ADFS 2.0 服务器通信，并将其部署到 IIS 服务器。一切正常，我可以检查并列出收到的索赔。

下一步是构建一个基于 Web API 的 REST 服务（代表 MVC 应用程序将依赖的后端服务），所以我想将凭据传递给该后端服务器，以便它可以进行适当的授权决定。

所以第一步是我创建委托令牌（然后，我希望根据HttpClient类来确定如何处理它以进行其余调用）。我有这个：

但是，问题是SecurityTokenService抽象的。System.IdentityModel我在nor中找不到从此类派生的任何类型System.IdentityModel.Services，并且上面不包含对 ADFS 服务器的任何引用，我显然需要在某些时候提供。

当然，我也可能完全走错了路，或者只是碰到了一个小绊脚石，而没有看到远处有一个更大的绊脚石，所以对此的任何建议也将不胜感激。

例如，我已经看过Identity Delegation Scenario，但是它使用CreateChannelActingAs，我认为当我与休息服务（或者会吗？）交谈时它不会起作用，而且似乎也不起作用适用于 .NET 4.5。