问题标签 [adfs2.0]

我们正在运行 ADFS 2.0 并与各种 STS 联合。

是否可以与 Windows Live、OpenID 和 Facebook 联合？

我们的一些用户已经拥有这些类型的凭据，能够使用它们将是一个额外的好处。

如果是这样，“添加声明提供者信任”向导中的联合元数据地址将使用哪个 URL？

还有其他陷阱吗？

我收到了许多使用 ADFS 的浏览器错误消息，全部形式。

访问该网站时出现问题。尝试再次浏览该站点。如果问题仍然存在，请联系该站点的管理员并提供参考号以识别问题。参考编号：c14bcf7c-268d-46be-82c3-7c1d873c3df2

我试图在事件日志中找到这些都无济于事。

您如何使用参考编号来追踪错误？

我下载了该工具并在安装了 ADFS v2.0 的 Windows 2008 R2 服务器上运行它。

所有角色等都是灰色的，LHS 上的按钮也是灰色的。

说明说要在“数据文件”文本框中选择一个新文件，例如 adfsdiag.out，然后“运行”该工具。我假设您通过单击“导出”来“运行”它，但它是灰色的。

我可以导出 adfsdiag.cab 文件，但是当我尝试将其选择为数据文件时，我收到一条错误消息，指出该文件不包含有效数据。

无论我做什么，“数据文件”文本框以外的控件都是灰色的。

我显然缺少一些基本的东西——只是不知道是什么！

有没有人成功地做到了这一点？

SelfSTS是 WCF 应用程序而不是 ASP.NET 应用程序，似乎没有很多示例或代码示例用于进行 WCF 集成？

这将非常有用，因为 SelfSTS 允许您动态创建对单元测试非常有用的声明组合。

更新：

这是问题所在：

SelfSTS 提供的联合元数据是 http URL 而不是 https，因此您必须将 xml 保存到文件中。如果在添加 Claims Provider 信任时将 http URL 输入到 ADFS，它将抛出一个错误，指出它只接受 https。

从文件导入数据时，ADFS 抱怨某些联合元数据被跳过，因为它不受 ADFS 支持。

然后我为名称和电子邮件添加传递规则。

SelfSTS 现在出现在索赔提供者列表中。

但是，当我查看属性时，它没有端点。列表中的所有其他 STS 都有一个 WS-Federation Passive 端点。（这些都不是 WCF）。我本来希望 SelfSTS 有一个 WS-Trust 端点？

如果我随后连接到在我的 ADFS 中配置为 RP 的应用程序，则 Home Realm Discovery 下拉列表包含我的所有被动声明提供程序的条目，但没有 SelfSTS 的条目？

想象一下，我有 ADFS 位于 AD 之上，并且有许多内部用户登录到声明感知应用程序并从 AD 获取声明。

同时，我们有外部用户必须先注册，然后使用他们注册的外部身份登录。

Azure ACS 是我可以与 ADFS 联合的 STS。这允许外部用户使用 Yahoo / Facebook / Google 等登录。

现在想象一下，我们希望允许现有的外部用户能够使用他们现有的 Yahoo 帐户登录。

我如何将他们的雅虎凭据与存储在 AD 中的信息相关联？

新的外部用户在注册时需要哪些信息，以便他们可以选择例如他们现有的雅虎帐户作为登录名，但仍然能够在 AD 中找到他们的正确身份？

假设有两家公司：A.NET 是一家 .NET 商店，B.Java 是一家 Java 商店。每家公司的用户都需要访问另一家公司的网站，因此两家公司使用 ADFS 和 Oracle 身份联合或 OpenSSO 联合来建立联合。

在 .NET 世界中，属性作为 IClaimsPrincipal 和 IClaimsIdentity 中的声明进行访问。

在 Java 世界中，属性作为 HTTP 标头访问。

联邦基础设施是否自动执行此映射，即

如果 A.NET 用户访问 B.Java 站点，他们是否将其属性作为声明？

如果 B.Java 用户访问 A.NET 站点，他们是否将其属性作为标题？

我正在尝试启动 OpenSSO(OpenAM) fedlet 并针对 ADFS2.0 服务器运行。我已经导入了他们的元数据 (idp.xml) 并与 ADFS 服务器交换了证书。我不得不从 XML 文件中删除一些元素；声明类型和其他一些此类元素。

当我单击“使用 HTTP POST 绑定运行 Fedlet (SP) 发起的单点登录”链接以尝试 SSO 时，我被退回到“HTTP 状态 500 - 单点登录失败”页面。

我的 fedlet 在 myServer.domain.net 上运行，ADFS 服务器是 adfs.domain.net。

我已经解码了向 ADFS 服务器发出的 SAML 请求：

这些是我的 jboss 日志中的错误和堆栈跟踪：

来自 ADFS 服务器的 SAMLResponse：

错误/堆栈跟踪：

这可能来自编辑 ADFS 服务器提供给我的元数据吗？我很难弄清楚从这里挖到哪里。

谢谢，

所以，为 ADFS 2.0 身份验证配置网站...

对于 IE - 它工作正常并且身份验证正确

对于 Chrome - 它到达重定向到 AD FS 服务器...要求进行身份验证但无法进行身份验证。

我尝试使用提琴手发出请求，但它没有显示任何有趣的东西 - 所以表明我们重定向到 adfs 进行身份验证，但仅此而已

可能是什么？为什么无法对 chrome 进行身份验证

谢谢

我有一个 WPF 客户端，它从 STS 请求 SAML 令牌。收到 SAML 令牌后，WPF 客户端将 SAML 令牌作为请求标头的一部分发送到 WCF 数据服务。在 WCF 数据服务级别，请求由授权管理器解释。我想知道是否有任何方法可以在服务级别验证此 SAML。（通过再次查询 STS）。

我创建了一个基本的 MVC 3 网站，它使用 Windows Azure 的访问控制服务 (ACS) 对 Active Directory 联合服务 (ADFS) 端点执行用户身份验证。我按照“添加 STS 引用”向导进行操作，该站点运行良好，并且在 IE 中完美地验证了用户。但是，当我使用 Chrome 或 Firefox 时，它会一遍又一遍地不断提示我输入凭据。

我在 technet 上发现这篇文章提到了与 Firefox 相关的问题，但没有提到 Chrome 的修复，我也不觉得修复 Firefox 所需的步骤在现实世界中是实用的（即我不能指望最终用户做这个）

http://social.technet.microsoft.com/wiki/contents/articles/ad-fs-2-0-continuously-prompted-for-credentials-when-using-firefox-3-6-3.aspx

有没有其他人碰到这个障碍？我究竟做错了什么？