问题标签 [adfs3.0]

我正在尝试使用 Visual Studio 2013（ASP.NET 4.5 应用程序）从 ADFS 3.0 获取用户信息，但我不能。我已完成身份验证，但我无权访问用户信息。

当我看到下一条指令的结果时：

我明白了：

这是所有的了。

I had installed ADFS 3.0 in my server. Where should I configure the authorize, token and user info endpoint in server. I could not find out a good article on the internet.

我尝试访问启用 OAuth2.0 的 ADFS 3.0 授权。

我能够获取授权码，并且鉴于此，我能够从令牌端点获取访问令牌。

我发现获取用户配置文件（如 objectGuid、电子邮件地址等）没有终点，尽管我已经在 ADFS 服务器中的依赖方信任中给出了声明规则。

任何人都可以帮助我实现以下目标，将 objectguid 或其他声明添加到从 ADFS 令牌端点 (OR) 收到的 accesstoken 声明中以获取用户配置文件信息。

由于 ADFS 3.0 中缺乏文档，我们无法弄清楚各种端点以及如何从启用 OAuth2.0 的端点获取用户信息。

我一直试图让这项工作有一段时间，我的头开始游泳......

我正在尝试使本地 ADFS 3.0 实例能够对本地 AD 和 Azure AD 中的用户进行身份验证。理想情况下，ADFS 将允许对加入域的设备进行 Windows 集成身份验证。如果不是，它将显示一个表单登录页面。当用户输入他们的 ID/PW 时，它会检查 Azure AD 凭据是否有效。我将本地 AD 与 Azure AD 同步，因此我的内部用户在那里，并且我有几个帐户仅在 Azure AD 中。我这样做是为了让内部和外部用户帐户可以访问本地 SharePoint 网站（不是 O365/SharePoint Online！）。

我按照本文中的步骤在 ADFS 和 Azure 之间设置 SSO。我确实在 ADFS 中的 Claims Provider Trusts 下看到了 windows.net 条目。我还在 Azure ACS 中使用与我的 ADFS 服务器匹配的领域和 DNS 信息配置了依赖方。

如果我将 ADFS 服务器添加到 Intranet 站点列表以便 Windows 集成身份验证工作，我看不到登录提示，并按预期重定向到我的 SP 站点。如果在我被重定向到 ADFS 时 ADFS 服务器不在 Intranet 站点列表中，我会看到一个标题为 Home Realm Discovery 的页面，其中有两个选项：ADFS 和 windows.net 声明提供程序的显示名称。如果我选择 ADFS，我可以使用内部 AD 帐户登录没问题，但这是一个 Windows ID/PW 提示。如果我选择 Windows.net，我可以使用仅限 Azure AD 的帐户进行身份验证，但是当浏览器在 ID/PW 验证后重定向时，我会收到以下错误消息：

“抱歉，我们无法让您登录。

我们收到了一个错误的请求。

附加技术信息：

相关 ID：07ec79b8-7484-4667-be45-cffe864854a9

时间戳：2014-12-17 16:13:10Z

AADSTS70001：在目录 daab1e92-e868-4495-8e6d-156727c0d612 中找不到带有标识符的应用程序（我的 ADFS 服务器的 FQDN）</p>

从上述错误中我可以看出，Azure ACS 认为我正在尝试访问 Azure 应用程序，但我不是。我只想进行验证并将其重定向到我的 SP 服务器。我知道这听起来可能有点令人费解，但还有一些其他因素导致我这样做的原因并不适用于这篇文章。

我知道我遗漏了一些简单的东西，但我无法弄清楚我遗漏了什么以便搜索它。我宁愿不让用户选择要验证的来源。我宁愿它只是一个简单的登录表单，让 ADFS 弄清楚。由于一旦集成身份验证失败，Azure AD 应该/可能是 ID/PW 验证的唯一来源，这应该是可能的，对吧？

如果它仍然不清楚我想要实现的目标，这里是我想要完成的一个稍微简单的绘图：

我正在 ADFSv3 上执行授权代码授权流程。

当我执行 AcquireToken 时，会启动通常的 html Web 浏览器身份验证提示，但由于某种原因，它会重定向到/adfs/oauth2/authorize/wia?显示 Windows 集成登录框的以下端点。

问题：

这是 ADFS 在这里提供的某种 ntml/sso 吗？

是否可以摆脱最初的 html 网络浏览器，而直接显示 windows 登录框，它看起来有点像带有 2 个身份验证提示（1 个禁用，1 个启用）的人格分裂。

我正在尝试使用 adfs 的 oAuth 功能，但正在努力从中获取访问令牌。安装程序是安装在 virtualbox vm 中的 Windows Server 2012 R2 Preview Edition。

我可以通过发出以下命令来获取 access_code：

这会将我重定向到以下网址

但是当我尝试使用此请求兑换令牌时：

有一个错误，我没有获得访问令牌。

adfs 服务的事件查看器指出以下错误：

路径 /adfs/oauth2/token 上没有注册的协议处理程序来处理传入的请求....

我根据以下信息构建了请求：https ://github.com/nordvall/TokenClient/wiki/OAuth-2-Authorization-Code-grant-in-ADFS

我不知道出了什么问题，非常感谢您的帮助！

我们曾要求某人设置 ADFS 3.0 和 SharePoint 2013。他已经完成了这项工作。当我进入 SharePoint 的登录页面时，我可以看到两个选项

1. Windows 身份验证
2. ADFS

如果我第一次选择 ADFS，浏览器会提示我输入用户名和密码。我能够使用 ADFS 正确登录。但是，当我尝试注销时，我会返回登录页面，但从那时起，如果我再次尝试登录，ADFS/SharePoint 将停止提示我输入用户名和密码。直到我没有清除我的缓存和浏览器历史记录才会发生这种情况。我已将此情况报告给管理员，但他说这是 kerberos 令牌的预期行为。我不太了解 ADFS 和 SharePoint。如果有人能让我知道这是否是 ADFS 和 SharePoint 的预期行为，我将不胜感激。

我们公司正在将越来越多的应用程序连接到我们的 ADFS 基础架构以使用 SAML 身份验证，并且我们正在认真实施更多的多因素身份验证方法，尤其是 YubiKeys。

我将使用HERE中的编码示例为我们的 ADFS 基础架构（使用 ADFS 3.0，即 Windows Server 2012 R2）编写自定义 MFA 提供程序，并且有一个我没有明确答案的“问题”。

为了使其正常工作，用户帐户需要链接到 YubiKey 令牌 ID#，并将其存储在 AD 中是理想的。（我见过一些示例，其中 MFA 提供程序实际上是我不想要的外部 Web 应用程序。）

最初，我将使用 User 类 extensionAttributes 之一进行测试，但最终我将为此创建一个专用属性。显然，这需要一个我很乐意做的模式扩展。

我不知道的是如何从 AD 中为正在验证的用户读取属性以验证他们使用的 yubikey 是他们的用户（即确保他们没有使用其他人）。谁能告诉我这是否可能？

我们正在尝试联合我们的应用程序，以便我们的客户可以使用他们各自的公司身份（Ping 身份或他们的 ADFS 服务器）访问我们的应用程序。

Web 应用程序是非声明感知的，我们正在尝试找到一种解决方案来联合它而不更改代码。

我使用 windows server 2012 R2 构建了一个 ADFS 3.0 环境，模拟未来场景，遵循我的实验室环境：

我们这边：

• 1 台 Active Directory 服务器（域 B）
• 1 个 IIS8 Web 服务器，带有我们的非声明感知应用程序（Kerberos 机制支持的 Windows 集成身份验证）加入 domainB
• 1 个 ADFS 3.0 服务器（服务提供商）加入 domainB
• 1 个 WAP 服务器加入域 B

客户端：

• 1 个活动目录（域 A）
• 1 个 ADFS 3.0 服务器（身份提供程序）加入 domainA

应用用户：

• 域B\user1
• 域A\用户2

我按照以下步骤构建了我的实验室环境：

1. 在 domainB 上安装和配置 ADFS 3.0
2. domainB上WAP服务器的安装和配置
3. 在 domainB 上的 WAP 服务器上发布 ADFS 3.0
4. 创建非声明感知依赖方信任指向域 B 上 ADFS 3.0 上的应用程序
5. 将非声明感知发布到 domainB 上的 WAP
6. 在 domainA 上安装和配置 ADFS 3.0
7. 信任 domainB 上的 ADFS 3.0 和 domainB 上的 ADFS 3.0
8. 在每个联合服务器上编辑声明规则

“domainB\user1”访问应用程序没有问题，在我的WAP服务器中有以下事件：

Web 应用程序代理代表用户成功检索了 Kerberos 票证。

Web 应用程序代理收到带有有效边缘令牌的 HTTP 请求。

“domainA\user2”无法访问并在屏幕上出现服务器错误，在 WAP 事件查看器中出现以下错误：

警告：EventID 13019 Web 应用程序代理无法代表用户检索 Kerberos 票证，因为以下一般 API 错误：用户名或密码不正确。(0x8007052e)。

错误：EventID 12027 Web 应用程序代理在处理请求时遇到意外错误。错误：用户名或密码不正确。(0x8007052e)。

似乎是 Kerberos 身份验证的问题，但 domainB\user1 访问应用程序没有问题。

需要了解：

• 问题出在哪里？
• 只有 Web 应用程序服务器的同一域的用户成员支持访问非声明感知应用程序

我花了很多天来找出原因。欣赏这里的任何方向。谢谢

我正在配置 Windows Active Directory SSO 我根据这里的教程建立了一个实验室：https ://technet.microsoft.com/en-us/library/dn280943.aspx

设置实验室后，我使用 Internet Explorer 从外部客户端连接：

• 基于声明的 webapp 运行良好
• 我对基于非声明的网页有疑问（带有 Windows 身份验证的 IIS 起始页）

出现认证页面

登录后，我被重定向到 HTTP 500 错误页面。

该 URL 在内部网络中运行良好，无需使用 Web 应用代理。

有没有人可以帮助我解决这个问题？

祝你有愉快的一天

PS：您可以在下面找到实验室图和配置详细信息和屏幕截图

Windows 2012 R2 域控制器 + DNS 服务器

• IP：192.168.22.1
• 域：contoso.com
• 信任计算机 WAP 用于指定 SPN 的身份验证委派 (192.168.22.15)：HTTP/WAP 和 HTTP/WAP.contoso.com

Windows 2012 R2 活动目录联合服务

• IP：192.168.22.2
• 域：contoso.com
• 联合 URL：adfs1.contoso.com
• 信赖方信任：非声明感知，标识符：webapp2.contoso.com，颁发授权“允许所有用户访问”

Windows 2012 R2 IIS 服务器

• IP：192.168.22.20
• 非索赔感知应用程序
• URL：webapp2.contoso.com
• 域：contoso.com
• SPN：HTTP/WEBAPP2 和 HTTP/WEBAPP2.contoso.com

Windows 2012 R2 Web 应用程序代理

• IP：192.168.22.15
• IP 外部：10.0.0.1
• SPN：HTTP/WAP 和 HTTP/WAP.contoso.com
• 使用非声明感知依赖方信任
• 前端和后端 URL：webapp2.contoso.com
• 后端 SPN：HTTP/WEBAPP2.contoso.com

外部客户

• IP：10.0.0.2

主机文件

图表

Web 应用代理配置

ADFS 配置

IIS 配置

客户端配置

直流配置

DNS 配置