问题标签 [adfs3.0]

我们正在尝试联合我们的应用程序，以便我们的客户可以使用他们各自的公司身份访问我们的应用程序。

好吧，我了解联合过程的机制，我已经能够设置 ADFS，并且我已经修改了我们的应用程序的代码，以便在我的实验室环境中接受声明，并且一切正常。

在接下来的几周内，我将在 ADFS 和我们客户的产品（Ping Identity）之间建立联合信任，我需要您的帮助来了解我必须与客户的 IT 部门交换什么样的信息才能完成该步骤。

我从未使用过 Ping Identity 产品。

感谢任何帮助。

非常感谢

我正在尝试在新安装的 Win Server 2012R2 上安装 ADFS，但在部署后配置中出现错误。域控制器是 Win Server 2008R2。请有人帮助我，我已经尝试解决这个问题 3 天了。

错误说：

数据库“AdfsConfiguration”的架构验证失败。ALTER DATABASE 语句失败。无法重新启动当前数据库。当前数据库切换到主数据库。

这是安装后的错误日志：

2015-04-29 12:46:55.93 服务器 Microsoft SQL Server 2012 - 11.0.2100.60 (X64) 2012 年 2 月 10 日 19:39:15 版权所有 (c) Windows NT 6.2 上的 Microsoft Corporation Windows 内部数据库（64 位）（内部版本） 9200:)（管理程序）

2015-04-29 12:46:55.97 服务器 (c) Microsoft Corporation。

2015-04-29 12:46:55.97 服务器保留所有权利。

2015-04-29 12:46:55.97 服务器服务器进程 ID 为 1532。

2015-04-29 12:46:55.97 服务器系统制造商：“VMware, Inc.”，系统型号：“VMware 虚拟平台”。

2015-04-29 12:46:55.98 服务器身份验证模式仅限 WINDOWS。

2015-04-29 12:46:55.98 服务器在文件“C:\Windows\WID\Log\error.log”中记录 SQL Server 消息。

2015-04-29 12:46:55.98 服务器服务帐户是'NT SERVICE\MSSQL$MICROSOFT##WID'。这是一条情报信息; 无需用户操作。

2015-04-29 12:46:56.00 服务器注册表启动参数：-w 65535 -T 1617 -K -e C:\Windows\WID\Log\error.log -l C:\Windows\WID\Data\mastlog。 ldf -d C:\Windows\WID\Data\master.mdf

2015-04-29 12:46:56.00 服务器命令行启动参数：-S“MSWIN8.SQLWID”-s“MICROSOFT##WID”

2015-04-29 12:46:56.54 服务器 SQL Server 检测到 1 个插槽，每个插槽有 1 个内核，每个插槽有 1 个逻辑处理器，总共 1 个逻辑处理器；使用 1 个基于 SQL Server 许可的逻辑处理器。这是一条情报信息; 无需用户操作。

2015-04-29 12:46:56.54 服务器 SQL Server 以正常优先级基础 (=7) 启动。这只是一条信息性消息。无需用户操作。

2015-04-29 12:46:56.54 服务器检测到 4095 MB RAM。这是一条情报信息; 无需用户操作。

2015-04-29 12:46:56.54 服务器在内存管理器中使用常规内存。

2015-04-29 12:46:59.38 服务器节点配置：节点 0：CPU 掩码：0x0000000000000001:0 活动 CPU 掩码：0x0000000000000001:0。此消息提供此计算机的 NUMA 配置的描述。这只是一条信息性消息。无需用户操作。

2015-04-29 12:46:59.41 服务器使用动态锁分配。每个节点初始分配 2500 个 Lock 块和 5000 个 Lock Owner 块。这只是一条信息性消息。无需用户操作。

2015-04-29 12:46:59.42 服务器软件使用指标已禁用。

2015-04-29 12:46:59.57 spid7s 启动数据库'master'。

2015-04-29 12:47:00.20 spid7s SA 的密码重新生成尝试成功。

2015-04-29 12:47:00.25 spid7s 资源调控器重新配置成功。

2015-04-29 12:47:00.25 spid7s SQL Server 审计正在开始审计。这是一条情报信息。无需用户操作。

2015-04-29 12:47:00.26 spid7s SQL Server 审计已开始审计。这是一条情报信息。无需用户操作。

2015-04-29 12:47:00.48 spid7s SQL Trace ID 1 由登录“sa”启动。

2015-04-29 12:47:00.50 spid7s 服务器名称为“GARWEB01\MICROSOFT##WID”。这只是一条信息性消息。无需用户操作。

2015-04-29 12:47:01.00 服务器 CLR 版本 v4.0.30319 已加载。

2015-04-29 12:47:01.16 spid9s 启动数据库“mssqlsystemresource”。

2015-04-29 12:47:01.21 spid7s 启动数据库“msdb”。

2015-04-29 12:47:01.24 spid13s 服务主密钥再生成功。

2015-04-29 12:47:01.24 spid13s 服务器本地连接提供程序已准备好接受 [\.\pipe\MICROSOFT##WID\tsql\query] 上的连接。

2015-04-29 12:47:01.25 spid9s 资源数据库构建版本为 11.00.2100。这只是一条信息性消息。无需用户操作。

2015-04-29 12:47:01.26 spid13s 未启动专用管理员连接支持，因为它在此版本的 SQL Server 上被禁用。如果要使用专用管理员连接，请使用跟踪标志 7806 重新启动 SQL Server。这只是一条信息性消息。无需用户操作。

2015-04-29 12:47:01.43 spid9s 启动数据库“模型”。

2015-04-29 12:47:01.87 spid9s 清除 tempdb 数据库。

2015-04-29 12:47:03.65 spid9s 启动数据库“tempdb”。

2015-04-29 12:47:07.48 spid16s Service Broker 端点处于禁用或停止状态。

2015-04-29 12:47:07.52 spid16s 数据库镜像端点处于禁用或停止状态。

2015-04-29 12:47:07.72 spid16s Service Broker 管理器已启动。

2015-04-29 12:47:08.13 使用 C:\Windows\Microsoft.NET\Framework64\v4.0.30319 中的 CLR 版本 v4.0.30319 初始化的服务器公共语言运行时 (CLR) 功能。

2015-04-29 12:47:09.13 spid7s SQL Server 现在已准备好进行客户端连接。这是一条情报信息; 无需用户操作。

2015-04-29 12:47:09.28 spid7s 恢复完成。这只是一条信息性消息。无需用户操作。

2015-04-29 12:47:09.59 spid3s sql server 进程内存的重要部分已被分页。这可能会导致性能下降。持续时间：0 秒。工作集 (KB)：5648，已提交 (KB)：119708，内存利用率：4%。

2015-04-29 12:49:03.32 spid3s sql server 进程内存的重要部分已被分页。这可能会导致性能下降。时长：331 秒。工作集 (KB)：24060，已提交 (KB)：98188，内存利用率：24%。

2015-04-29 12:52:52.70 spid51 试图将库“xpsqlbot.dll”加载到内存中。这只是一条信息性消息。无需用户操作。

2015-04-29 12:52:52.74 spid51 使用“xpsqlbot.dll”版本“2011.110.2100”执行扩展存储过程“xp_qv”。这只是一条信息性消息；无需用户操作。

2015-04-29 12:53:05.74 spid3s sql server 进程内存的重要部分已被分页。这可能会导致性能下降。持续时间：601 秒。工作集 (KB)：38888，已提交 (KB)：98548，内存利用率：39%。

2015-04-29 12:58:19.65 spid3s sql server 进程内存的很大一部分已被分页。这可能会导致性能下降。持续时间：928 秒。工作集 (KB)：39020，已提交 (KB)：98548，内存利用率：39%。

2015-04-29 13:03:46.67 spid3s sql server 进程内存的很大一部分已被分页。这可能会导致性能下降。持续时间：1258 秒。工作集 (KB)：39580，已提交 (KB)：98892，内存利用率：40%。

2015-04-29 13:09:17.59 spid3s sql server 进程内存的重要部分已被分页。这可能会导致性能下降。持续时间：1523 秒。工作集 (KB)：39568，已提交 (KB)：98940，内存利用率：39%。

2015-04-29 13:15:34.11 spid3s sql server 进程内存的很大一部分已被分页。这可能会导致性能下降。持续时间：1853 秒。工作集 (KB)：39776，已提交 (KB)：99044，内存利用率：40%。

2015-04-29 13:16:33.02 登录错误：18456，严重性：14，状态：38。

2015-04-29 13:16:33.02 用户 'GARANTIZAR\BackupUSR' 的登录登录失败。原因：无法打开明确指定的数据库“AdfsConfiguration”。[客户： ]

2015-04-29 13:16:48.56 登录错误：18456，严重性：14，状态：38。

2015-04-29 13:16:48.56 用户 'GARANTIZAR\BackupUSR' 的登录登录失败。原因：无法打开明确指定的数据库“AdfsConfiguration”。[客户： ]

2015-04-29 13:16:50.57 spid51 启动数据库“AdfsConfiguration”。

2015-04-29 13:16:51.38 spid51 为数据库“AdfsConfiguration”将数据库选项 SINGLE_USER 设置为 ON。

2015-04-29 13:16:51.88 spid34s 无法为数据库 ID 启动 Service Broker：5。问题是阻止 SQL Server 启动 Service Broker。检查 SQL Server 错误日志以获取其他消息。

2015-04-29 13:16:51.97 spid34s 错误：9645，严重性：16，状态：3。

2015-04-29 13:16:51.97 spid34s 服务代理管理器发生错误，错误：3602，状态：124。

2015-04-29 13:16:59.89 spid51 为数据库“AdfsConfiguration”将数据库选项 MULTI_USER 设置为 ON。

2015-04-29 13:17:00.23 spid51 启动数据库“AdfsConfiguration”。

2015-04-29 13:17:00.34 spid51 无法验证 DLL 'C:\Windows\WID\Binn\DBVerify\adfsconfigDbVerify.dll' 上的 Authenticode 签名。

2015-04-29 13:17:58.86 spid51 启动数据库“AdfsConfiguration”。

2015-04-29 13:18:20.94 spid54 试图将库“xpstar.dll”加载到内存中。这只是一条信息性消息。无需用户操作。

2015-04-29 13:18:21.11 spid54 使用“xpstar.dll”版本“2011.110.2100”执行扩展存储过程“xp_instance_regread”。这只是一条信息性消息；无需用户操作。

2015-04-29 13:18:23.04 spid54 启动数据库“AdfsConfiguration”。

2015-04-29 13:18:42.36 spid54 为数据库“AdfsConfiguration”将数据库选项 MULTI_USER 设置为 ON。

2015-04-29 13:18:42.41 spid54 启动数据库“AdfsConfiguration”。

2015-04-29 13:18:42.44 spid54 无法验证 DLL 'C:\Windows\WID\Binn\DBVerify\adfsconfigDbVerify.dll' 上的 Authenticode 签名。

在浏览了我可以在 ADFS 3.0 上找到的文档后，我发现了这两个可扩展点：

• 自定义属性存储
• 身份验证适配器

我理解的方式是，属性存储在身份验证之后和返回声明之前被注入管道 - 它只能引入新声明 - 或更改现有声明。

另一个控制整个管道，可以细粒度地控制身份验证以及返回的声明。它可用于将后端存储（f.ex AD）完全替换为自定义存储，用于身份验证和身份验证后返回的声明。

我的理解正确吗？还有其他扩展点吗？

希望大家能帮我解惑，祝好。

在我阅读文档时，ADFS 3.0 只能使用 ldap 身份验证存储。

IAuthenticationAdapter（在 Microsoft.IdentityServer.Web.dll 中）只能用作 ldap 存储中存在的用户的辅助身份验证。

这种理解正确吗？

在使用 ws-federation 被动的 ADFS RP-STS 中，您能否根据声明的值或存在将用户重定向到备用 URL，而不是将它们发送回他们最初请求的依赖方？

例如，如果用户登录到 RP-STS 并且电子邮件声明不存在，您能否将用户重定向到他们可以输入其电子邮件地址的页面（不在同一依赖方）？

我当前的解决方案是使用转换规则来检测电子邮件地址声明的缺失，并发出一个名为“ http://mycompanyurl/claims/redirect ”的新声明，其值为“ http://mycompanyurl/getemail ”。然后，我将该声明传递给每个依赖方，并期望他们执行重定向。此解决方案的明显缺点是每个依赖方都需要实现自定义代码。

I'm trying to federate on premise ADFS 3.0 instance with Azure Active Direcotry instance. The idea is to allow AAD (azure) users to authenticate to an application which trusts the ADFS instance.

• I added azure AD to claims provider trusts in ADFS (using it's federation metadata document path)
• then I create an application in AAD which has identifier of the ADFS (e.g. https://fs.somedomain.com/adfs/services/trust

ADFS instance then correctly displays AZURE as special realm.

The only thing I can't figure out is what should be the reply url in azure application settings, so the ADFS instance redirects authenticated request to correct application.

我一直在使用 SAML 扩展来连接到 ADFS 服务器。我已经破解了示例应用程序以使用我的 ADFS 服务器并且一切顺利，但我想知道是否有一种方法可以在不使用 IDP 的登录页面的情况下连接到 IDP。我的意思是，如果有办法在后台为最终用户执行此过程。我正在考虑对 ADFS 进行查询或类似的操作以获取用户并从 SP 登录页面进行身份验证，从而避免用户在 IDP 登录页面中进行身份验证。

我正在尝试设置 ADFS 3.0 以使用 Visual Studio 2013 中的 ASP.NET MVC 应用程序。我想知道是否需要从我们的 ADFS 管理员那里获取证书并将其导入到运行 MVC 应用程序的 IIS 中以便身份验证工作？

我们有一个具有自己身份验证的应用程序，我们最近为其添加了 OAuth2 支持。企业客户可以为他的 ADFS 或 Google 域指定数据，我们使用它来自动注册和登录他们的用户。

现在，问题是切换凭据。当我们从应用程序中注销时，单击登录按钮（重定向到配置的 ADFS OAuth2 授权端点）将立即验证用户并将他发送回我们的应用程序，并为其当前凭据提供有效代码。

Google 端点有一个特殊参数 ，approval_prompt我们可以使用它来强制执行中间步骤，用户可以在该步骤中切换他的凭据。我认为 ADFS 没有。

我们还有哪些其他解决方案？是否可以在 ADFS 服务器上配置一些东西来提示用户为每个授权请求输入他的凭据？

首先，我是 ADFS 主题的新手。目标是在 Win2012R2 上为基于 Java 的 Web 应用程序提供单点登录身份验证。

当用户打开浏览器时，他会从 Security-Token-Service 获得一个令牌。使用此令牌和包含的声明 (?)，他应该能够登录到 Web 应用程序。

1.) 声明是否包含在安全令牌中？
2.) 应用程序开发人员可以读取此令牌吗？为了将这些声明中的信息调整到应用程序中？