问题标签 [adfs3.0]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - 如何使用 ASP.NET 4.5 从 ADFS 3.0 获取用户信息?
我正在尝试使用 Visual Studio 2013(ASP.NET 4.5 应用程序)从 ADFS 3.0 获取用户信息,但我不能。我已完成身份验证,但我无权访问用户信息。
当我看到下一条指令的结果时:
我明白了:
这是所有的了。
c# - Authentication using end points in ADFS 3.0
I had installed ADFS 3.0 in my server. Where should I configure the authorize, token and user info endpoint in server. I could not find out a good article on the internet.
adfs3.0 - 从 ADFS3.0 获取用户配置文件
我尝试访问启用 OAuth2.0 的 ADFS 3.0 授权。
我能够获取授权码,并且鉴于此,我能够从令牌端点获取访问令牌。
我发现获取用户配置文件(如 objectGuid、电子邮件地址等)没有终点,尽管我已经在 ADFS 服务器中的依赖方信任中给出了声明规则。
任何人都可以帮助我实现以下目标,将 objectguid 或其他声明添加到从 ADFS 令牌端点 (OR) 收到的 accesstoken 声明中以获取用户配置文件信息。
由于 ADFS 3.0 中缺乏文档,我们无法弄清楚各种端点以及如何从启用 OAuth2.0 的端点获取用户信息。
azure - ADFS 在 Azure AD 中对用户进行身份验证
我一直试图让这项工作有一段时间,我的头开始游泳......
我正在尝试使本地 ADFS 3.0 实例能够对本地 AD 和 Azure AD 中的用户进行身份验证。理想情况下,ADFS 将允许对加入域的设备进行 Windows 集成身份验证。如果不是,它将显示一个表单登录页面。当用户输入他们的 ID/PW 时,它会检查 Azure AD 凭据是否有效。我将本地 AD 与 Azure AD 同步,因此我的内部用户在那里,并且我有几个帐户仅在 Azure AD 中。我这样做是为了让内部和外部用户帐户可以访问本地 SharePoint 网站(不是 O365/SharePoint Online!)。
我按照本文中的步骤在 ADFS 和 Azure 之间设置 SSO。我确实在 ADFS 中的 Claims Provider Trusts 下看到了 windows.net 条目。我还在 Azure ACS 中使用与我的 ADFS 服务器匹配的领域和 DNS 信息配置了依赖方。
如果我将 ADFS 服务器添加到 Intranet 站点列表以便 Windows 集成身份验证工作,我看不到登录提示,并按预期重定向到我的 SP 站点。如果在我被重定向到 ADFS 时 ADFS 服务器不在 Intranet 站点列表中,我会看到一个标题为 Home Realm Discovery 的页面,其中有两个选项:ADFS 和 windows.net 声明提供程序的显示名称。如果我选择 ADFS,我可以使用内部 AD 帐户登录没问题,但这是一个 Windows ID/PW 提示。如果我选择 Windows.net,我可以使用仅限 Azure AD 的帐户进行身份验证,但是当浏览器在 ID/PW 验证后重定向时,我会收到以下错误消息:
“抱歉,我们无法让您登录。
我们收到了一个错误的请求。
附加技术信息:
相关 ID:07ec79b8-7484-4667-be45-cffe864854a9
时间戳:2014-12-17 16:13:10Z
AADSTS70001:在目录 daab1e92-e868-4495-8e6d-156727c0d612 中找不到带有标识符的应用程序(我的 ADFS 服务器的 FQDN)</p>
从上述错误中我可以看出,Azure ACS 认为我正在尝试访问 Azure 应用程序,但我不是。我只想进行验证并将其重定向到我的 SP 服务器。我知道这听起来可能有点令人费解,但还有一些其他因素导致我这样做的原因并不适用于这篇文章。
我知道我遗漏了一些简单的东西,但我无法弄清楚我遗漏了什么以便搜索它。我宁愿不让用户选择要验证的来源。我宁愿它只是一个简单的登录表单,让 ADFS 弄清楚。由于一旦集成身份验证失败,Azure AD 应该/可能是 ID/PW 验证的唯一来源,这应该是可能的,对吧?
如果它仍然不清楚我想要实现的目标,这里是我想要完成的一个稍微简单的绘图:
adal - 然后它重定向到 /adfs/oauth2/authorize/wia?
我正在 ADFSv3 上执行授权代码授权流程。
当我执行 AcquireToken 时,会启动通常的 html Web 浏览器身份验证提示,但由于某种原因,它会重定向到/adfs/oauth2/authorize/wia?
显示 Windows 集成登录框的以下端点。
问题:
这是 ADFS 在这里提供的某种 ntml/sso 吗?
是否可以摆脱最初的 html 网络浏览器,而直接显示 windows 登录框,它看起来有点像带有 2 个身份验证提示(1 个禁用,1 个启用)的人格分裂。
oauth - ADFS 3.0 oAuth oauth2/token -> 没有注册协议
我正在尝试使用 adfs 的 oAuth 功能,但正在努力从中获取访问令牌。安装程序是安装在 virtualbox vm 中的 Windows Server 2012 R2 Preview Edition。
我可以通过发出以下命令来获取 access_code:
这会将我重定向到以下网址
但是当我尝试使用此请求兑换令牌时:
有一个错误,我没有获得访问令牌。
adfs 服务的事件查看器指出以下错误:
路径 /adfs/oauth2/token 上没有注册的协议处理程序来处理传入的请求....
我根据以下信息构建了请求:https ://github.com/nordvall/TokenClient/wiki/OAuth-2-Authorization-Code-grant-in-ADFS
我不知道出了什么问题,非常感谢您的帮助!
sharepoint-2013 - SharePoint 使用 ADFS 登录后从不要求登录
我们曾要求某人设置 ADFS 3.0 和 SharePoint 2013。他已经完成了这项工作。当我进入 SharePoint 的登录页面时,我可以看到两个选项
- Windows 身份验证
- ADFS
如果我第一次选择 ADFS,浏览器会提示我输入用户名和密码。我能够使用 ADFS 正确登录。但是,当我尝试注销时,我会返回登录页面,但从那时起,如果我再次尝试登录,ADFS/SharePoint 将停止提示我输入用户名和密码。直到我没有清除我的缓存和浏览器历史记录才会发生这种情况。我已将此情况报告给管理员,但他说这是 kerberos 令牌的预期行为。我不太了解 ADFS 和 SharePoint。如果有人能让我知道这是否是 ADFS 和 SharePoint 的预期行为,我将不胜感激。
active-directory - ADFS MFA - 为 YubiKey 扩展 AD 架构
我们公司正在将越来越多的应用程序连接到我们的 ADFS 基础架构以使用 SAML 身份验证,并且我们正在认真实施更多的多因素身份验证方法,尤其是 YubiKeys。
我将使用HERE中的编码示例为我们的 ADFS 基础架构(使用 ADFS 3.0,即 Windows Server 2012 R2)编写自定义 MFA 提供程序,并且有一个我没有明确答案的“问题”。
为了使其正常工作,用户帐户需要链接到 YubiKey 令牌 ID#,并将其存储在 AD 中是理想的。(我见过一些示例,其中 MFA 提供程序实际上是我不想要的外部 Web 应用程序。)
最初,我将使用 User 类 extensionAttributes 之一进行测试,但最终我将为此创建一个专用属性。显然,这需要一个我很乐意做的模式扩展。
我不知道的是如何从 AD 中为正在验证的用户读取属性以验证他们使用的 yubikey 是他们的用户(即确保他们没有使用其他人)。谁能告诉我这是否可能?
authentication - ADFS 3.0 和非声明感知应用程序、身份验证问题
我们正在尝试联合我们的应用程序,以便我们的客户可以使用他们各自的公司身份(Ping 身份或他们的 ADFS 服务器)访问我们的应用程序。
Web 应用程序是非声明感知的,我们正在尝试找到一种解决方案来联合它而不更改代码。
我使用 windows server 2012 R2 构建了一个 ADFS 3.0 环境,模拟未来场景,遵循我的实验室环境:
我们这边:
- 1 台 Active Directory 服务器(域 B)
- 1 个 IIS8 Web 服务器,带有我们的非声明感知应用程序(Kerberos 机制支持的 Windows 集成身份验证)加入 domainB
- 1 个 ADFS 3.0 服务器(服务提供商)加入 domainB
- 1 个 WAP 服务器加入域 B
客户端:
- 1 个活动目录(域 A)
- 1 个 ADFS 3.0 服务器(身份提供程序)加入 domainA
应用用户:
- 域B\user1
- 域A\用户2
我按照以下步骤构建了我的实验室环境:
- 在 domainB 上安装和配置 ADFS 3.0
- domainB上WAP服务器的安装和配置
- 在 domainB 上的 WAP 服务器上发布 ADFS 3.0
- 创建非声明感知依赖方信任指向域 B 上 ADFS 3.0 上的应用程序
- 将非声明感知发布到 domainB 上的 WAP
- 在 domainA 上安装和配置 ADFS 3.0
- 信任 domainB 上的 ADFS 3.0 和 domainB 上的 ADFS 3.0
- 在每个联合服务器上编辑声明规则
“domainB\user1”访问应用程序没有问题,在我的WAP服务器中有以下事件:
Web 应用程序代理代表用户成功检索了 Kerberos 票证。
Web 应用程序代理收到带有有效边缘令牌的 HTTP 请求。
“domainA\user2”无法访问并在屏幕上出现服务器错误,在 WAP 事件查看器中出现以下错误:
警告:EventID 13019 Web 应用程序代理无法代表用户检索 Kerberos 票证,因为以下一般 API 错误:用户名或密码不正确。(0x8007052e)。
错误:EventID 12027 Web 应用程序代理在处理请求时遇到意外错误。错误:用户名或密码不正确。(0x8007052e)。
似乎是 Kerberos 身份验证的问题,但 domainB\user1 访问应用程序没有问题。
需要了解:
- 问题出在哪里?
- 只有 Web 应用程序服务器的同一域的用户成员支持访问非声明感知应用程序
我花了很多天来找出原因。欣赏这里的任何方向。谢谢
authentication - 非基于声明的应用程序的 Web 应用程序代理上的错误 500
我正在配置 Windows Active Directory SSO 我根据这里的教程建立了一个实验室:https ://technet.microsoft.com/en-us/library/dn280943.aspx
设置实验室后,我使用 Internet Explorer 从外部客户端连接:
- 基于声明的 webapp 运行良好
- 我对基于非声明的网页有疑问(带有 Windows 身份验证的 IIS 起始页)
出现认证页面
登录后,我被重定向到 HTTP 500 错误页面。
该 URL 在内部网络中运行良好,无需使用 Web 应用代理。
有没有人可以帮助我解决这个问题?
祝你有愉快的一天
PS:您可以在下面找到实验室图和配置详细信息和屏幕截图
Windows 2012 R2 域控制器 + DNS 服务器
- IP:192.168.22.1
- 域:contoso.com
- 信任计算机 WAP 用于指定 SPN 的身份验证委派 (192.168.22.15):HTTP/WAP 和 HTTP/WAP.contoso.com
Windows 2012 R2 活动目录联合服务
- IP:192.168.22.2
- 域:contoso.com
- 联合 URL:adfs1.contoso.com
- 信赖方信任:非声明感知,标识符:webapp2.contoso.com,颁发授权“允许所有用户访问”
Windows 2012 R2 IIS 服务器
- IP:192.168.22.20
- 非索赔感知应用程序
- URL:webapp2.contoso.com
- 域:contoso.com
- SPN:HTTP/WEBAPP2 和 HTTP/WEBAPP2.contoso.com
Windows 2012 R2 Web 应用程序代理
- IP:192.168.22.15
- IP 外部:10.0.0.1
- SPN:HTTP/WAP 和 HTTP/WAP.contoso.com
- 使用非声明感知依赖方信任
- 前端和后端 URL:webapp2.contoso.com
- 后端 SPN:HTTP/WEBAPP2.contoso.com
外部客户
- IP:10.0.0.2
主机文件
图表
Web 应用代理配置
ADFS 配置
IIS 配置
客户端配置
直流配置
DNS 配置