问题标签 [adfs2.0]

我有一个 SharePoint 2007 门户配置为使用 FormsSignIn（ADFS 上的表单身份验证）对 STS（ADFS 2.0）进行身份验证。有没有办法让一些页面在 SharePoint 门户中允许匿名访问？我尝试在 SharePoint Central Admin 中检查“启用匿名访问”，并尝试在 web.config 中添加位置部分，但是这两个部分仍然重定向到 ADFS 登录页面。

我重新命名了 ADFS 登录网站，使其看起来不那么通用，更像我们的 SharePoint 登录页面。我是否应该将这些匿名访问页面从 SharePoint 移出并移入 ADFS 站点？

ADFS 对我来说是新手，我不确定自定义登录过程的最佳实践是什么。

谢谢，

在尝试学习 ADFS 2.0 环境时，我使用 Visual Studio 2010 创建了一个空的 ASP.NET Claims 感知应用程序作为 RP。

使用 ADFS 2.0 我做了以下事情：

1. 使用“添加信赖方信任...”向导创建了 SAML 2.0 信赖方
2. 使用“添加声明提供者信任...”向导创建了 SAML 2.0 声明提供者

现在我做了以下步骤：

• 将浏览器指向http://localhost/adfs/IdpInitiatedSignOn.aspx
• 从组合框中选择步骤 1 中定义的 RP 作为要登录的站点。
• 在下一页中，从组合框中选择步骤 2 中定义的 IDP 作为身份验证站点。
• 点击“继续登录”

现在，ADFS 2.0 将我重定向到为 IDP 配置的 URL，并将 SAMLRequest 附加到请求。（这很棒）

但是，到达 IDP 的 SAML 请求不包含任何 ACS URL（更详细地说，没有“AssertionConsumerServiceURL”的 XML 节点），

ACS URL 不是 SAML 请求中的强制属性吗？

谢谢 ！约阿什

我目前有一个作为 debug.wifclientapp.com 部署到本地 IIS 的应用程序副本，它将转到 ADFS 服务器进行身份验证，但是当它在成功身份验证后重定向时，它会转到 www.wifclientapp.com，这是上的测试实例远程服务器。

我首先设置了测试实例。我怎样才能让它重定向回原来的网站？

我对这些系统的了解并不多，所以如果我提出愚蠢的问题，请原谅我。

我希望实现以下目标：

Idp (AD FS 2.0) -> SAML 2.0 -> Sp (simpleSAMLphp)

*除了简单地验证用户身份之外，我不需要任何花哨的东西。

我尝试将带有 AD FS 2.0（域 A）的 Windows Server 2008 配置为身份提供程序，并让它处理来自不同域（使用 simpleSAMLphp（域 B）创建）上的服务提供程序的身份验证请求。

AD FS 2.0 管理应用程序允许我从 SP 添加原始元 XML 来配置 idp。我的 SP 也有能力做同样的事情。所以我认为如果我正确设置了 idp（AD FS 2.0），那么我只需让 SP 解释 idp 的元数据。

目前我觉得我接近解决方案（但我可能又错了！）。目前，当 Idp 询问您的登录凭据并输入我的凭据时，似乎一切都已找到，似乎会话已开始，但我收到“未授权 - HTTP 错误 401。请求的资源需要用户认证。' 输入正确的登录凭据后的消息。

有人可以解释如何解决这个问题吗？或者，如果使用 SAML 2.0 进行 AD FS 2.0 身份验证的分步设置更快，则只需对用户名和密码进行身份验证。

提前感谢您的任何提示！

我一直在使用 ADFS 对 AD 用户进行身份验证，使用 VS 中的声明感知模板。我们的一些用户不会在 Active Directory 中，所以我想知道是否可以配置 ADFS 为这些用户查找 SQL Server，然后照常进行。

ADFS2.0 是否提供自定义身份验证存储？

是一个类似的问题，只有一个人说可以，而另一个人说你不能。

我正在使用启用声明的网络应用程序。我想锁定具有自定义属性的网页，以允许在存在特定声明时访问该页面..

我可以做以下

如果声明为空，则将它们重定向到页面之外。

但是我怎么能通过注释类来做到这一点。

我在看 ClaimsPrincipalPermission

但对于我的生活，我看不到将什么投入到资源和运营中。如何将 adfs 返回的声明转换为claimsprincipalpermission. 我需要编写很多自定义类来做到这一点吗？

谢谢，

我有一种情况，我们有一个 MVC 2 应用程序（我用一个基本的 MVC 2 应用程序尝试了这个，没有任何额外的东西，仍然是同样的问题）并且正在使用 adfs 2 来验证我的用户。

所以.. 现在我进入我的应用程序并得到以下信息.. ID3206：SignInResponse 消息只能在当前的 Web 应用程序中重定向：'/[app]' 是不允许的。说明：执行当前 Web 请求期间发生未处理的异常。请查看堆栈跟踪以获取有关错误及其源自代码的位置的更多信息。异常详细信息：Microsoft.IdentityModel.Protocols.FederationException：ID3206：SignInResponse 消息只能在当前 Web 应用程序内重定向：不允许使用“/[app]”。

我已经阅读了大多数关于此的博客，并发布到一个..

1. 我在领域和观众Uris 上有斜线。
2. 我已将他建议的内容添加到 Application_BeginRequest – 然后我将代码复制到 [开发域]，因为那是证书所在的位置。然后它就陷入了无限循环。
3. 我还在日内瓦服务器上检查了我的依赖方。标识符和端点（POST）都是 https://[development domain]/[app]/ - 再次带有斜杠

我认为这是一个 MVC 应用程序的问题，我创建了许多 Claims Aware 网站并在 default.aspx 页面上获得了我的声明等。我的想法是，与 MVC 应用程序相关的路由以某种方式将其发回错误？

任何帮助真的很感激，因为我现在安静地看着这个一段时间无济于事..

Ĵ

我有一个要保存在 cookie 中的大字符串，但是我不知道每个 cookie 的最大字符串长度和最大 cookie 计数的最佳做法是什么。

我应该使用什么逻辑来拆分字符串，然后再组合一组 cookie？

（Microsoft ADFS 和 Siteminder 可能会使用这种技术，所以我会对他们的实现方式感兴趣）

我目前在我的 adfs 2.0 服务器上配置了两个依赖方 (RP)。我还有两个索赔提供者信托。如果用户属于声明提供者 1，我只想限制对第一个 RP 的访问。

是否有可以让我检查用户的发行人然后授予访问权限的声明规则？

我还想知道这种行为在 SSO 基础架构中是否可以接受。我是否应该部署两个 ADFS 2.0 实例来支持这一点（一个信任声明提供程序 1，而另一个不信任）。

感谢您的任何想法或设计输入。

我从 ADFS 2.0 事件日志中收到一个奇怪的错误，如下所示：

“Federation Service 无法完成令牌颁发请求，因为依赖方 'https://my-relying-party' 缺少 WS-Federation Passive 端点地址。

依赖方：https://my-relying-party

此请求失败。

用户操作

使用 AD FS 2.0 管理管理单元在此依赖方上配置 WS-Federation Passive 终结点。”

这发生在 ADFS 2.0 成功验证 SAML 响应但显然无法为依赖方应用程序颁发令牌之后。

我在 ADFS 2.0 中将 IDP 和 SP 都配置为 SAML 2.0，所以我不明白为什么需要 WS-Federation 端点？

任何帮助将不胜感激。