问题标签 [adfs2.0]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
claims-based-identity - nameidentifier 声明的目的是什么?
类型声明http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier应该用于什么?
这是主要问题,这里还有其他问题。
它与http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name索赔有何不同?
与名称声明相反,它对于特定用户是永久性的吗?
它是全球范围的还是 IdP 范围的?
wif - ADFS 2.0 错误 ID4175:安全令牌的颁发者未被 IssuerNameRegistry 识别
错误:
ID4175:安全令牌的颁发者未被 IssuerNameRegistry 识别。要接受来自此颁发者的安全令牌,请将 IssuerNameRegistry 配置为返回此颁发者的有效名称。
情况:我在单个 IIS 服务器(我的 QA 环境)上运行了 3 或 4 个 asp.net 应用程序,今天早上开始返回此错误。我从一个匿名站点开始,单击指向安全部分的链接,重定向到我的联合服务代理,进行身份验证,然后被重定向回我的安全页面,但出现了这个错误。
这个链接和其他一些链接表明我的 web.config 中的指纹是错误的,但我可以证明(通过 TFS 中的历史)我的 web.config 文件中的指纹没有改变。
我尝试重新运行 fedutil,但仍然收到相同的消息(尽管会出现不同的指纹)。有任何想法吗?
facebook - 有没有人为 Facebook Connect 和 Graph API 编写过 STS 包装器?
有没有人编写了一个安全的令牌服务来包装他们愿意分享的 Facebook 连接 API?
我们正在考虑将此作为使用 Azure ACS 的替代方案。
adfs - IP-STS 中的 ClaimTypesRequested 和 RP 中的 ClaimTypeRequired 之间的关系/目的是什么
ClaimTypesRequested 部分似乎是从 ADFS 中的“Claim Descriptions”选项卡构建的,并且 web.config 和 metada 在通过 FedUtil “绑定”时继承了这个。
- WIF会以任何方式比较两者吗?
- RP 列表是否必须是子集?
- “不同步”时是否会抛出任何错误?
例如,您可以在 ADFS 声明规则中定义未出现在任一列表中但似乎可以通过 RP 的自定义声明?
asp.net - ADFS 在特定时间段后重新验证 MVC 请求
我正在开发一个声明感知 ASP.NET MVC 应用程序。身份验证通过 Active Directory 联合身份验证服务完成。ADFS 服务器的超时时间为 8 小时。在应用程序级别,我将会话超时和应用程序池空闲时间提高到 3 小时。但如果用户在 30 分钟内处于非活动状态,ADFS 服务器仍会重新验证用户身份。为什么会这样?我需要设置什么我没有设置。对此的任何帮助将不胜感激。
谢谢!
维尼塔
saml - Shibboleth SP 将错误的用户身份传递给应用程序
我有一个使用 Shibboleth SP(最新版本 - 2.4.2)进行 Shibbolized 的 Rails 应用程序。我将它与 Apache 2.2 一起使用。我的 IdP 是 MS AD FS 2.0 服务器。
一切似乎都运行良好 - 用户访问该站点,被重定向到 AD FS,获得身份验证,然后返回并登录该站点。
问题是一旦你这样做了,几乎不可能及时以不同的用户身份登录。您可以清除所有 cookie(我在 Mac 上使用 Safari 和 Chrome 尝试此操作)并重新启动浏览器,但如果我首先以 Alice 身份进行身份验证,然后尝试以 Carol 身份登录,我仍然会登录到应用程序作为爱丽丝。
shibd 在清除 cookie 后收到的 SAML 响应中包含正确的身份:
但是当 Shibboleth SP 将环境变量传递给我的应用程序时,它反而发送了错误的凭据:
尽管已经删除了所有 cookie,但 Shib-Session-ID 将是相同的。不知何故,它似乎将这两个交互关联起来并重新建立现有会话,而不是使用来自 SAML 响应的帐户信息进行新会话。
我已将我能找到的所有缓存超时值设置为 60 秒,但是在关闭浏览器的情况下等待 2-3 分钟不足以让它进行新会话。
...
重新启动 apache 和 shibd 可以正常工作,关闭浏览器并让它静置很长时间(10-15 分钟?)我对它需要多长时间没有确切的了解。
我错过了什么?我应该追求哪些其他途径?
adfs2.0 - ADFS 和 ADFS 服务器的 FQDN 是否应该相同?
我有两个名为 auth.somedomain.no 的 ADFS 2.0 代理服务器和两个名为 adfs.somedomain.no 的 ADFS 2.0 服务器。
但是,https: //auth.somedomain.no/FederationMetadata/2007-06/FederationMetadata.xml 不公开https://adfs.somedomain.no/FederationMetadata/2007-06/FederationMetadata.xml
ADFS 和 ADFS 代理的正式名称必须相同吗?
single-sign-on - 对内部 AD 用户和外部用户进行 SSO 的最佳方法是什么?
我们有一个 Web 应用程序 (asp.net mvc 3),它应该支持通过 AD 进行内部使用的 SSO。我们还有一个庞大的外部用户社区,我们希望为我们的所有 Web 应用程序提供 SSO。例如:external_user1 使用相同的登录名访问 webappA、webappB 和 webappC。此外,domain\user1 可以访问所有三个 web 应用程序。我们计划使用 WIF 和 ADFS 2.0。
我们不希望所有外部用户都拥有 AD 帐户,因此,过去我们可能尝试过使用 ADFS 1.x 和 ADAM 的解决方案。但是,我们使用的是 Windows Server 2008 R2,并且 ADFS 2.0 无法使用 AD LDS(ADAM 的后继产品)来验证用户身份。
什么是 SSO 方法(使用 Microsoft 产品)?
firefox - 未关闭“扩展保护”的非 IE 浏览器对 AD FS 的 NTLM 身份验证?
从在 Windows 上运行的 Google Chrome 或 Firefox 3.5+ 对 AD FS 2.0 使用 NTLM 身份验证时,这会导致重复登录对话框并最终登录失败,并出现带有“状态:0xc000035b”的“审核失败”事件。
这可以通过关闭 IIS 中“/adfs/ls”Web 应用程序的“扩展保护”来“解决”。这在几个地方都有记录;有关详细信息,请参阅我对另一个 StackOverflow 问题的回答。
我的问题是:如何在不关闭“扩展保护”的情况下使 AD FS 的 NTLM 身份验证适用于这些浏览器?我的意思是,在 Internet Explorer 中,“扩展保护”打开时效果很好,为什么 Chrome 或 Firefox 不能呢?或者这是 Chrome/Firefox 实现错误/限制,例如,在他们使用 Windows NTLM 库时?
更新:我应该提到我想在不强迫人们更改浏览器设置的情况下这样做。
adfs2.0 - 未启用声明的 ASP.NET 应用程序和 ADFS v2.0
这篇文章让我想到了当您通过 FedUtil 将启用非声明的 ASP.NET 应用程序与 ADFS 联合时会发生什么。
这篇文章建议让这个工作的关键是打开对 Windows 令牌服务 (C2WTS) 的声明。此服务有效地将 ADFS 令牌转换为 Windows 令牌。
因此,我使用 Windows 身份验证构建了一个快速的 ASP.NET 应用程序,运行 FedUtil,我可以使用 ADFS Windows 身份验证或 StarterSTS 对 ADFS 进行身份验证。问题是 C2WTS 没有运行,所以它可以工作,尽管我预计它不会。
显然,您无法访问应用程序内的声明对象,但除此之外它可以正常工作。
然而,这确实引发了一个问题。由于您无权访问 FederatedPassiveSignOut 等,您如何从 ADFS 注销?
令牌是否被发送到应用程序?
它只是忽略它们而不抛出任何异常吗?
C2WTS 是否需要成为图片的一部分?
我错过了什么吗?