问题标签 [adfs3.0]

Our Java app is federated with customers ADFS 3.0 server. There is an issue after sending authentication requests (SP initiated) to ADFS server over SAMLP. It is for intranet use case, where windows authentication was specified on ADFS server in authentication policy. SP app is using ForgeRock's Fedlet library that is forcibly sending RequestedAuthnContext attribute withing SAML authentication request :

We had initially also issue with extranet authentication, where Forms authentication was selected on ADFS. We have solved that with adding Claim custom rule for our RP :

Now we are stacked down with intranet use case. On ADFS side we got following error :

Could I add/do something for it ? Is it possible to say in custom rules IF IT IS INTRANET, AUTH METHOD IS WINDOWS or something like that?

ADFS 具有看起来像错误的意外行为。

我有使用 SHA1 哈希算法进行数字签名的 SP。在此 SP 的 ADFS 上，我在高级选项卡上设置为使用 SHA256。

对我来说，这些不相关是正常的，每一方选择如何签署。

当我从 SP 中退出时，我确实使用 SHA1 进行了签名。在 ADFS 上我遇到了异常：

我正在使用 ADFS 3，Windows R2

我正在测试 WSO2 API Manager v1.9.0 是否可能在我的公司中使用，我们正在构建一些新的应用程序，将 Rest API 用于后端，SPA 用于我们的前端。我们得出结论，它需要使用 OpenID Connect 并且 WSO2 支持它。

我们使用 ADFS 3.0 作为身份提供者，并且我已经设法将 ADFS 与 WSO2 API Manager 联合起来，并且我能够对公司用户进行身份验证以获取访问令牌。该过程经过以下步骤：

1. 用户点击登录链接，重定向到 ADFS 登录页面；
2. 用户进行身份验证并将其重定向到同意页面；
3. 用户批准访问，他被重定向到包含访问令牌的链接。

考虑到我公司已经拥有用户数据，有没有办法禁用同意页面并且只需要用户登录？

OpenID Connect 规范对我来说是新的，所以如果您需要更多信息，请告诉我。

此致

IAuthenticationAdapter我正在通过在 .NET 中实现为 ADFS 3.0 设置自定义 MFA 提供程序。此自定义适配器生成一个随机代码，该代码传输到用户的手机。

我想限制用户可以输入随机代码的次数，以帮助防止暴力攻击。我使用存储在传递给BeginAuthentication()and的上下文中的重试计数器来完成此操作TryEndAuthentication()。

然而，我刚刚发现这个上下文不是服务器端的东西，而是被加密并在隐藏的 html 字段中传输到客户端。

用户现在可以通过简单地导航到具有先前重试计数值的上一页来规避重试限制，然后使用新代码重新提交。

我相信我只需要在服务器端存储重试计数，但是在哪里呢？在文档中找不到任何关于此的内容。

我希望 ADFS 本​​身会以某种方式支持重试限制。

嗨 Stackoverflow 社区！

我搜索了所有 msdn 文档并询问了 Google 博士，但我没有发现 ADFS 3.0 和 W2k12r2 如何确定请求是来自 Intranet 还是 Extranet 区域。

现在，我已经设置了一个带有自定义身份验证提供程序的 ADFS 3.0 服务器，并且一直获得用于身份验证的表单页面。

ADFS 服务如何确定请求是来自 Intranet 还是 Extranet 位置？

我已经使用 ADFS3 实现了 SSO。我有用于注销的注销按钮，它与我的 ws-federation 被动端点一起工作正常。在注销中，我将用户重定向到 logout.aspx 页面，并且我在页面加载时编写了代码

其中一个应用程序使用 SAML，因此我创建了 SAML 断言消费者端点。因此，当我打开此应用程序并单击注销时，它会引发错误，并且当我在 ADFS 上看到事件日志时

我正在尝试在我的单页应用程序中从 ADFS 的 oauth2 端点接收 JWT 令牌。我成功地收到了来自 oauth2 端点的代码。在 ajax POST 请求之后，我收到了access_token和refresh_token。但是当我查看 access_token 时，我只有这些声明：

如您所见，我没有收到AD FS 的nbf声明。我在我的信赖方信任的配置中找不到它。我试图在我的依赖方上将属性NotBeforeSkew设置为 2 分钟，将 TokenLifetime 设置为 60 分钟，希望 AD FS 开始发送 nbf 声明。但我错了，没有任何帮助。

所以我的问题是这个。是否可以从我的应用程序或 ad fs 服务器强制发送 nbf 声明？

也许这只是配置问题，但我无法从文档中推断出如何配置此声明。

如果已安装并配置 ADFS 3.0 (Windows 2012 R2)。使用 ADFS 对我的 web 应用程序进行身份验证工作正常，但是当我想更新/更改密码时，我在 ADFS 登录页面上收到此错误：

“未设置新密码。请联系您的系统管理员”（翻译自荷兰语）

在事件查看器中，此错误事件记录在 ADFS 服务器上 (eventID 407)：

以下用户的密码更改失败：

附加数据

用户：@

尝试更改密码的服务器：.domain.local 错误详细信息：

密码验证错误

ADFS 调试跟踪出现以下 2 个错误事件 (eventid 53)：

PasswordUtil.ChangePassword：用户的目录操作错误，异常 Sytem.DirectoryServices.Protocols.DirectoryOperationException：请求中的值无效。

在 System.DirectoryServices.Protocols.LdapConnection.ConstructResponse（Int32 messageId，LdapOperation 操作，ResiltAll resultType，TimeSpan requestTimeOut，布尔异常OnTimeOut）

和

PasswordUtil.ChangePassword：无法更改服务器上的密码，并出现错误 Microsoft.IdentityServer.Service.PasswordManagment.PasswordChangeException：引发了“Microsoft.IdentityServer.Service.PasswordManagment.PasswordChangeException”类型的异常。

在 Microsoft.IdentityServer.Service.PasswordManagment.PasswordUtil.ChangePassword（字符串用户名、SecureString oldPassword、SecureString 新密码）

不需要安装此修复程序，因为 dll 比我们的 ADFS 服务器上的旧 ( https://support.microsoft.com/en-us/kb/3035025 )

adfs 中更新密码的端点已启用（否则我没有得到更新密码屏幕）。

在 DC 的事件查看器中，有一些信息性事件表明 dat 已尝试更改密码，该事件会被记录下来，因为密码不是通过 ADFS 更改的。似乎 ADFS 服务帐户想要更改我想要更改的密码，所以我将 ADFS 服务帐户设置为域管理员，但这并不能解决问题，并且我得到了同样的错误。

在互联网上没有找到太多，也没有找到 adfs eventid 407 或 53。

有没有人和我遇到同样的问题？

我们目前正在运行 AD LDS 并使用 adamsync 从多个域创建用户代理对象，以允许来自多个域的身份验证。adamsync 过程很混乱，我很好奇 AD FS 是否是一个合适的替代方案？我们有多个域，并且有使用 LDAP 进行身份验证的应用程序，并且希望将我们的 LDAP 应用程序指向 AD FS，并让它对来自多个不同 AD 域的用户进行身份验证。这可能吗？如果是这样，是否有关于如何设置的文档？我们希望能够摆脱 LDS 并将其替换为 AD FS。

我们的 LDS 在 windows 2008 服务器上运行 AD FS 将在 windows 2012 R2 上构建

我有使用 SAML 身份验证的应用程序，我们在 2012 R2 机器上安装了 AD FS 3.0。我认为用户确实获得了身份验证，但是由于我的应用程序返回错误，因此存在问题，这是我得到的响应标头：

现在问题出在哪里，据我了解，用户确实获得了身份验证，但我的应用程序无法继续。搜索谷歌我找到了这个链接，但是这个 KB 安装在 ADFS 服务器上。我相信由于 P3P 错误，这是失败的。有什么建议么？