问题标签 [adfs3.0]

我在两台 Windows Server 2012 R2 机器上安装了 ADFS 和 AD。我已经设法将它们连接在一起，并且一切正常。但是如何向我的 ADFS 配置添加更多活动目录？我已经准备好从头开始一切。

实际上，我希望此功能可以登录我网站中任何 AD 森林中的任何用户。我查看了互联网，但没有任何配置可以完成这项工作。我想要此工作的 ADFS 配置包含规则、中继等。

有人知道这个配置吗？

我目前正在为我的公司创建一个自定义 MFA，用于登录 Windows 机器。我找到了通过两个不同的博客提供的示例，但是当我尝试使用第二种身份验证方法登录时，我得到以下错误**（https://由于信誉限制从所有链接中删除）**：

**273：**请求指定了一个断言消费者服务，该服务未在依赖方“domain/adfs/ls/”上配置或不支持。请求参数：'','','' 依赖方：domain/adfs/ls/

此请求失败。

用户操作 使用 AD FS 管理管理单元为该依赖方配置具有指定参数的断言使用者服务。此外，如果请求 SAML 工件，请检查是否启用了工件解析服务。

我已确保 adfs/ls/ 已启用，并在依赖方信任中列为标识符

364：联合被动请求期间遇到错误。

附加数据

协议名称：Saml

依赖方：domain/adfs/ls/

异常详细信息：Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.AssertionConsumerServiceNotFoundPolicyException：MSIS3110：找不到与请求参数匹配的依赖方信任“域/adfs/ls/”上配置的 AssertionConsumerService：AssertionConsumerServiceIndex=，AssertionConsumerServiceUrl=''，协议绑定=''。在 Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue（HttpSamlRequestMessage httpSamlRequestMessage，SecurityTokenElement onBehalfOf，String sessionState，String relayState，String& newSamlSession，String& samlpAuthenticationProvider，Boolean isUrlTranslationNeeded，WrappedHttpListenerContext context，Boolean isKmsiRequested）在 Microsoft.IdentityServer.Web.Protocols .Saml.SamlProtocolHandler.RequestBearerToken（WrappedHttpListenerContext 上下文，

我尝试添加其他声明方法并调整联合服务标识符 URL。我也尝试过手动设置依赖方信任以及使用联合 xml。

我知道错误 ID 364 往往是通用的，涵盖了许多不同的内容，但它通常伴随着我在尝试不同修复时遇到的第二个错误。然而，我总是发现自己回到了这里。

这是我遵循的自定义 MFA：http: //msdn.microsoft.com/en-us/library/dn783423.aspx ?f=255&MSPPError=-2147217396

我还比较了这个：http: //blogs.technet.microsoft.com/cloudpfe/2014/02/01/how-to-create-a-custom-authentication-provider-for-active-directory-federation-services -on-windows-server-2012-r2-part-2/

我是服务器新手，所以可能设置有问题。但是，我仍然收到的唯一警告是关于 UPN（事件 ID 415）：SSL 证书不包含企业中存在的所有 UPN 后缀值。证书中未显示 UPN 后缀值的用户将无法 Workplace-Join 其设备。

任何有关下一步尝试的指导将不胜感激。

我需要一个好的建议，并想知道解决方案是否可行。现在我的一个客户有一个通用的登录应用程序，它基于使用会员提供程序的表单身份验证（ASP.NET）。所有内部用户都使用其 AD 凭据登录，外部用户使用自定义用户名和密码。两者都通过表单身份验证包装。现在的新提议是用 ADFS 替换此 Forms 身份验证。我在互联网上浏览了各种文章，无法得出结论。让我列出到目前为止我对 ADFS 扩展点的发现。

1) 可以通过https://blogs.technet.microsoft.com/cloudpfe/2013/12/27/how-to-create-a-custom-attribute-中提到的方法向 ADFS 声明添加自定义属性store-for-active-directory-federation-services-3-0/。

2) 可以通过https://blogs.msdn.microsoft.com/jenfieldmsft/2014/03/24/build-your-own-external-authentication-方法添加第二级身份验证（或多因素身份验证） provider-for-ad-fs-in-windows-server-2012-r2-walk-through-part-1/。在这里，我了解到，在 AD 完成第一级身份验证之后，只有我们的外部提供商才会出现。

所以我有一个普遍的问题，那就是真的有可能用 ADFS 实现我想要的。请告诉我。

我想要做的是访问从 ADFS 登录返回的用户声明。ADFS 返回用户名，使用该用户名我必须对另一个数据库运行查询以获取用户信息并存储它。我真的不知道在哪里做，最好的做法是什么。我可以在视图控制器中访问用户声明，例如：

但我需要做的是，正如我所说，在 global.asax.cs 或 startup.cs 中访问声明，以便在应用程序运行之前存储用户信息。

这是我的 Startup.Auth.cs 文件：

我知道 ADFS 3.0 已经消除了对 IIS 的需求，并且它现在直接运行在 HTTP.SYS 之外。

那么这是否意味着甚至不可能重新添加 IIS，以便实现自定义 FormsAuth（Web 表单）类型集成，就像您过去在 ADFS 2.0 下能够做到的那样？

或者这些天都是Shibboleth？

编辑：我们已经能够在 ADFS 3.0（与 Active Directory 相邻）中成功部署我们自己的自定义身份验证提供程序，并将其用于 SSO 到 Office 365，因此不再需要这样做。请参阅在 ADFS 3.0 中使用自定义身份验证/声明提供程序实施 Office 365 单点登录（RE：AADSTS90019）

我在 ADFS 3.0 中成功配置了一个新的 Claims Provider Trust，它允许我们使用单独的 SAML IdP 并让 ADFS 3.0 成为 SP。现在，当我们通过 SAML IdP 时，我们会看到“您已登录”。所以这部分工作正常（SSO 进入 ADFS 3.0）。

但是，现在尝试访问 Office 365 应用程序会在https://login.microsoftonline.com/login.srf返回以下错误：

AADSTS90019：在请求中或任何提供的凭据中未找到租户识别信息。

有任何想法吗？我是否需要添加信赖方信任以使 Office 365 也信任我们基于 SAML 的声明提供程序？

例如，尝试完成将 SSO 完全融入 Outlook Web App 的最后一站，感觉我只差几个参数了。

我正在尝试通过Win 2012 R2 上的Web 应用程序代理和AD FS发布SSRS 2016 Web 服务和 Web 门户。

为了能够通过 URL 和 WAP 访问报告，我需要在 SSRS 端进行什么配置？

有人找到分步指南吗？我已经在谷歌上搜索了几天没有运气。

谢谢，

因此，在 ADFS 3.0 中使用自定义身份验证/声明提供程序成功实施 Office 365 单点登录后，我可以确认我们的 Web SSO 正在运行，但现在我们遇到了一个新问题：

这是在尝试将 iOS 设备上的 OneDrive 与我们的自定义声明提供程序一起使用时，在事件查看器中注册的 ADFS 错误。它基本上对我说，“您对 Office 365 的出站UPN和ImmutableID声明对于您的 Web 浏览器来说很好，但我们的移动应用程序需要一个‘不同的’声明提供程序（或身份验证方法），特别是用户名/密码”，正如该Desired authentication type(s)行所暗示的那样。

有谁知道我们如何为满足“要求”的 Office 365 身份平台依赖方编写出站声明规则？

编辑：这实际上已经解决了。我不太记得如何/为什么/什么，但如果涉及到我，我会发布更新。

如何在 ADFS 声明中获取组的所有用户，ADFS 中的配置步骤是什么以及如何获取组的所有用户

我正在使用 ADFS 3.0 作为两个 asp.net 应用程序的 sts，当我登录到应用程序 1 时，它将同时登录到 app1 和 app2，这意味着 app2 不会要求提供凭据，但是当我从 app1 中单击注销时，它只会注销从那个应用程序。并且在 app2 用户保持登录状态，有什么问题？从任何一个应用程序注销时如何从这两个应用程序中注销？