问题标签 [adfs3.0]

是否可以使用隐式授权流从 AD FS 请求 Java 或 C# 上的安全令牌？看起来这只能在 JS 中（在浏览器中）。预先感谢您的回答。

在对 ADFS 进行身份验证后，一直在努力尝试提取不记名令牌...

我有一个 API 将接受承载令牌并针对 ADFS 对其进行验证。

我有一个 Web 表单 (.net 4.5.1) 应用程序，我正在修改它以使用 ADFS 3.0 来实现 SSO 身份验证。到目前为止，它针对 ADFS 服务器进行了正确的身份验证（显示到 ADFS 登录页面并登录）。

我的问题是我现在希望 WebForms 应用程序使用不记名令牌调用我的 Web API，我希望不记名令牌出现在 ADFS 返回的响应中，但它在哪里以及如何检索它？

我尝试使用 SecurityTokenValidated 和 SecurityTokenReceived WsFederationAuthenticationNotifications 事件，如下所示：

但是我在事件返回的对象中的任何地方都找不到令牌......我错过了什么？

感谢所有帮助。

1) 我有一个 Active Directory，它了解 100% 的用户，而 IdP 知道其中的 50%。我希望 ADFS 首先检查用户是否存在于 IdP(RP0) 中，如果用户在 IdP 中不存在，则基于响应（授权、未授权、不存在）将查询 LDAP(RP1)（活动目录）。

可能吗？实现这一目标的索赔规则应该是什么？

2) 是否可以为 ADFS 实现插件以帮助实现 [1]？此 ADFS API 对最新的 ADFS 版本有效吗？

https://msdn.microsoft.com/en-us/library/windows/desktop/bb625463(v=vs.85).aspx

我们的遗留应用程序将用户帐户信息存储在数据库中。我似乎找不到关于 AD FS 3.0 是否支持针对 Active Directory 和 SQL Server 的身份验证的明确信息。

要清楚我的问题：

如何使用 AD FS 3.0 为存储在 SQL Server（如果有的话）以及 Active Directory 中的用户提供联合身份验证？

TIA

I have been tasked to set up Single Signon for asp.net application (SAAS) using IIS server with a client who has ADFS3.0 for providing identity credentials. the users authenticated will be allowed to log in to the web application but i have been going through a lot of information as how to set up service provider files as the application is already running. what settings and where do i need to configure them. any help will be greatly appreciated.

我们得到

java.lang.Instantiation

将 IDP 元数据 xml 导入 websphere 应用程序服务器 8.5 时出现异常。IDP 是 ADFS 3.0。我们按照Websphere 8.5 saml setup中给出的步骤进行操作。

wsadmin 中使用的命令是：

AdminTask.importSAMLIdpMetadata('-idpMetadataFileName "C:/federationmetadata.xml" -idpId 1 -ssoId 1 -signingCertAlias idpCert1')

命令提示符中的错误堆栈跟踪如下所示：

有人知道这个错误吗？我们使用管理员 ID 来运行 wsadmin。

在我们的 ADFS 3.0 中，我们有一个自定义属性存储，该属性存储与休息服务通信以根据用户 ID 检索特定属性。这些属性带有一个 urn 和一个值。我的目标是让从 rest-service 检索的骨灰盒设置为声明类型，但这种类型似乎是在您从 ADFS 的 gui 创建的所谓模板中设置的。见下面的代码：

是否可以使用 adfs 声明规则语言在我的自定义属性存储中以编程方式设置声明类型？

我在不同的 Tomcat 服务器中有多个 Web 应用程序。现在我必须在所有应用程序中使用 ADFS 实现 SSO。我不清楚这种方法。

作为 POC，我使用 Spring saml 在一个 Web 应用程序中通过 ADFS 实现 SSO。我们可以将 POC 应用程序用作所有其他业务应用程序的服务提供者吗？如果是，由于此 SSO 是基于浏览器的，其他应用程序如何从一个服务提供商处检索声明。还是我们需要在所有应用中一一使用spring saml？这个选项是一项艰巨的任务，因为我必须在所有应用程序中进行更改（包括必要的 jar 和代码）。我读到了多租户，但什么也得不到。

有谁能够帮助我？

我有一个网络应用程序。我试图让它对 Win2012 R2 ADFS 服务器进行身份验证。

我设置了依赖方，被重定向，登录，然后作为失败的请求重定向回应用程序。

在事件日志中我有这个：

MSIS7070：SAML 请求包含已颁发令牌不满足的 NameIDPolicy。请求的 NameIDPolicy: AllowCreate: True 格式: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SPNameQualifier: . 实际 NameID 属性：null。

如果我没看错的话，webapp 正在请求，urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress但没有为依赖方找到该策略。

在依赖方下，我有两个规则：

规则 2

我已经仔细检查并确保格式匹配，但我卡在错误消息上。

我通过以下方式使用 ADFS 3.0 中支持的授权流程，

1. 浏览器连接到 MyService
2. MyService 将浏览器重定向到 ADFS 以进行 OAuth
3. 浏览器连接到 ADFS 以获取 OAuth 授权代码
4. ADFS 通过浏览器对用户进行身份验证
5. ADFS 将浏览器连同授权代码一起重定向回 MyService
6. 浏览器连接到 MyService 并传递授权令牌
7. MyService 连接到 ADFS 并从授权令牌中获取访问令牌

但是，访问令牌缺少用户身份，MyService 无法识别用户。

访问令牌具有以下 JWT 信息。

{ "aud": "urn:relying:party:trust:identifier",
"iss": " http://ms.cloud.com/adfs/services/trust ",
"iat": 1452875046,
"exp": 1452878646 ,
"auth_time": "2016-01-15T15:35:20.248Z",
"authmethod": "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport",
"ver": "1.0",
“appid”：“我的应用程序”}

有人可以告诉我 MyService 从 ADFS 获取访问令牌后如何识别用户吗？