问题标签 [adfs2.0]

我已经为 asp.net mvc 应用程序实现了注销功能。我有一个名为 SignOut 的按钮，对于按钮单击，我将代码挂接到 Controller 类中，如下所述：

我在该行中遇到错误，FederatedAuthentication.SessionAuthenticationModule.DeleteSessionTokenCookie();如下所述：

错误：发送 HTTP 标头后服务器无法修改 cookie。

任何人都可以帮助我解决上述问题。

我的事件日志中不断收到此错误消息：

证书链的根不是受信任的根授权

它似乎工作正常，但我不喜欢那个错误的声音，有人知道为什么以及如何解决这个问题吗？

我正在构建一个使用 Windows Identity Foundation 对用户进行身份验证的 ASP.NET Web 应用程序。

该组织有一个本地 ADFS STS。他们的 Office365 通过 Microsoft 联合网关与本地 STS 进行身份验证。新的 Web 应用程序还将使用 WIF 对本地 STS 进行身份验证。

我可以在新应用和 Office365 环境之间建立静默单点登录吗？因此，用户一旦登录 Web 应用程序就不必登录 Office365，反之亦然。

我已经搜索（甚至）搜索了这个问题的答案，但到目前为止还没有找到任何有用的东西。我对 ADFS、STS 和 WIF 还是很陌生，所以请原谅任何明显的无知或不当使用术语。;)

我目前正在通过 ADFS 将自定义 MVC3 应用程序与外部 IdP 集成。ADFS 到 IdP 的设置已全部完成并正常工作。

该站点的某些部分可供匿名用户访问 - 在 web.config 身份验证模式中已设置为无。其他部分通过自定义 System.Web.Mvc.AuthorizeAttribute 修饰其控制器/操作方法来保护。

为使用 WsFederationAuthenticationModule 对 web.config 进行了所有常见的修改，并且它可以工作 95%；用户可以浏览到网站的匿名访问部分。当他们尝试访问受保护的部分时，授权属性会检查他们是否在与 HttpContext.Current.User 关联的 IClaimsPrincipals 中从我们的 IdP 获得了一些自定义信息，如果没有，则将 ActionResult 设置为 401；WsFederationAuthenticationModule 启动并将它们重定向到 IdP 的登录页面。当他们输入他们的详细信息时，他们会被一些 FedAuth cookie 成功重定向，然后授权就会通过。

当他们到达 IdP 的登录页面时，问题就开始了。这个特定的 IdP 有一个链接，可将您直接返回到我们的网站（返回到原始请求所发到的同一页面），并在某处嵌入此 SAML 响应（这是根据他们的文档）

瓮：绿洲：名称：tc：SAML：2.0：状态：AuthnFailed

在这一点上，它们现在是“未经授权的”，所有用户将看到（至少在开发中）是一个 401 页面。您必须终止会话或以其他方式摆脱该 cookie 才能重新开始。

我需要做的是拦截来自 IdP 的重定向请求，并从本质上检查该特定 SAML 状态，因为然后用户应该被重定向到未经授权的区域之一，就好像什么都没发生一样。我在 global.asax 中尝试过这样的事情：

..但我在那个令牌上看不到任何有用的东西；没有任何东西表明特定的响应状态。根本有一个 FedAuth cookie但没有来自 Idp 的自定义信息这一事实完全表明用户已经在那里但不知何故未能进行身份验证，但原则上我希望能够看到该状态。我可能还必须处理 IdP 的超时问题......

也许我做错了，或者只是老不明白，但可以以某种方式让我了解如何确定这些响应状态？

呸。谢谢！:D

想象以下场景。

用户访问站点 A (ASP.NET)，使用 ADFS 进行身份验证并获得一组声明。在某些时候，他们需要注册一项附加服务，以便将他们重定向到配置站点 B (ASP.NET)（也使用 ADFS - 所以 SSO），在那里他们通过输入相关详细信息进行注册并被重定向回 A。

但是，配置过程的一部分向存储库（通常是 AD）添加了属性，我们希望这些属性构成其声明集的一部分。

要做到这一点，他们有重新认证？通过强制联合注销是最好的方法吗？这将由站点 A 或站点 B 完成吗？

如果他们是使用 WIA 的内部用户，他们将在“幕后”登录，整个过程将是透明的。

如果他们是使用 FBA 的外部用户怎么办？他们不需要重新登录吗？鉴于这不是一个非常令人满意的用户体验，有没有办法解决这个问题？

有一些参考资料谈到将签名令牌作为 cookie 写入客户端浏览器，然后 STS 稍后从 cookie 验证 SSO 令牌。您将如何使用 ADFS 执行此操作？

如果这是一个愚蠢的问题，我很抱歉。我已经阅读了许多关于 ADFS 设置和其他内容的文章，但我不明白的是（因为这不是我的主要工作或兴趣领域）是它是否真的能够处理我需要处理的内容。

也就是说：我在域“domainA”上有一个 Sharepoint 服务器。现在，有人告诉我，使用 ADFS，我可以将权限“委派”给其他外部 AD。我的理解是，我可以说这家使用“domainB”的其他公司被允许登录到我的共享点服务器？这完全正确吗？那么“domainA”和“domainB”的用户都可以登录，我可以设置两个AD用户的共享点权限吗？

我知道我可以自定义 adfs\ls 文件夹中的登录页面。但是在 FormsSignIn.aspx 页面或母版页中，我想使用查询字符串参数。但是 HttpContext.Current.Request.Querystring 是空的。任何想法？我想要实现的是使布局依赖于查询字符串参数或类似的东西。

我想对使用 ADFS 2.0 的用户进行身份验证，以使用自写的 WCF 服务。该服务已准备就绪且功能齐全。ADFS 2.0 也设置正确。

当我在代码中设置客户端绑定并在那里执行操作时，一切都按预期工作。但是当我喜欢使用“更新服务引用”生成的配置时，绑定是错误的，不能按预期工作。

我在哪里错过了什么？欢迎任何提示。

给出错误

未处理的异常：System.ServiceModel.FaultException：带有操作“http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue”的消息无法在接收器处处理，因为EndpointDispatcher 的 ContractFilter 不匹配。这可能是因为合约不匹配（发送方和接收方之间的操作不匹配）或发送方和接收方之间的绑定/安全不匹配。检查发送方和接收方是否具有相同的合同和相同的绑定（包括安全要求，例如消息、传输、无）。

服务器配置：

客户端配置（不工作）：

代码中的客户端绑定（工作）：

我的问题类似于我应该如何为 SAML WebSSO 配置文件实现 HTTP POST 协议绑定？，但我没有看到我需要的确切答案。这是我的情况。我已经为 WEB SSO SP 发起的 POST 重定向实现了服务提供程序，我的 IDP 是活动目录，STS 是 ADFS2.0。用户登录后，我需要在没有用户代理交互的情况下向 ADFS2.0 发送另一个 AuthnRequest。HTTP POST可以吗？或者要通过 HTTP POST 发送，必须需要用户代理交互。我设置 isPassive=true。我尝试使用 Java 来实现。

当我尝试从由另一个 asp.net 应用程序 (IP) 验证的 asp.net 应用程序 (RP) 调用 WCF 服务时，我收到一条包含登录页面内容的错误消息（它正在尝试登录页面，因为它无法验证请求）。

身份提供者：_http://localhost/AuthenticatonWS/Login.aspx

依赖方网址：_http://localhost/RPWebsite/Default.aspx

WCF 服务：_http://localhost/RPWebsite/Service1.svc

（在我的解决方案中，我从 default.aspx.cs 调用 service1.svc）

我不希望服务是匿名的。目前该站点 (RPWebsite) 使用 STS 并信任本地身份提供者，但在生产中它可以通过 ADFS 信任任何外部身份提供者。

任何人都可以指导我如何将令牌信息从 aspx 页面传递给服务，我确实尝试了来自互联网的几个示例，但我无法让它工作。