问题标签 [adfs3.0]

我有一个使用 ADFS 对用户进行身份验证的 asp.net Web 应用程序。ADFS 服务器配置为在确定用户是 AD 域的有效成员后向 Web 应用程序发出声明。

我想要做的是在发布基本声明后调用的 ADFS 服务器上部署一个模块。然后，该模块将查询备用数据库（例如 SQL），根据已发布的声明检索有关用户的一些信息，并将该信息作为一个或多个声明/断言注入到 SAML 令牌中，该令牌被发送回网络服务器。

我已经尝试在 ADFS 服务器上实现自定义身份验证适配器，但它面向 MFA，并且只会返回一个额外的声明，断言使用了某种形式的 MFA。

我们在 Web 应用程序中使用 ADFS (3.0) 身份验证。我们有一个场景，用户无需身份验证即可访问页面，但是在 ADFS 环境中，他在尝试从 Web 浏览器访问该页面时获得了 ADFS 登录（家庭领域发现）页面。

例如，如果用户访问http://www.test.com/prod/quickentry.aspx，则应显示快速进入页面，而无需任何登录或身份验证页面，以便用户可以创建基本记录。用户需要能够做到这一点，而不必登录到应用程序。此方案适用于非 ADFS 环境，但在启用 ADFS 的环境中会显示 ADFS 登录页面。

在我们应用程序的 web.config 中，我们有以下内容：

我们所做的只是将“FederationMetadata”替换为“quickentry.aspx”，然后当我们访问上述链接时，会显示快速入口页面而不是登录页面。但是，在快速输入页面上，字段和按钮未正确显示。这个页面上的css似乎完全关闭了。

这是正确的方法吗？有什么遗漏吗？如果这不是正确的方法，那么请告诉我是否有任何方法可以实现绕过 ADFS 登录页面并直接访问 aspx 页面的功能？

谢谢你。

我在不同的服务器上托管了 MVC 应用程序和 Web Api。但如果从我的 mvc Web 应用程序访问，我无法使用 ADFS 验证我的 Web api。

收到“CORS错误”

提前致谢

我正在我的应用程序中实现身份验证和授权。

对于身份验证： 我通过 ADFS 服务器配置了 WS-Fed 登录协议并启用了 JWT。创建 MVC 应用程序并配置为使用 WS-Fed 对用户进行身份验证。

现在的问题是成功登录后如何将 JWT 令牌存储在我的 cookie 中？

这是我的代码

对于授权 ，我有一个单独的 Web API 项目。我想通过在每个请求的标头中传递 JWT 令牌来授权我的 api，但不确定如何从 cookie 中提取 JWT 令牌并将其传递给 web api 进行验证。

我们为 Windows Server 2012 R2 ADFS 开发了一个外部身份验证 dll（使用 C# .NET）。您可以选择此 MFA 适配器，并且在您的凭据经过验证（第一个身份验证因素）后，您会看到一个表单以输入 OTP（第二个身份验证因素）。

到目前为止一切顺利，现在我们希望在 ADFS 中为我​​们的外部身份验证适配器提供对智能卡（PIN 验证）的支持。我们怎样才能做到这一点？

我正在尝试将我们的 ADFS 登录与我们结合使用 ActiveAdmin 和 Devise 的应用程序集成。为此，我成功地添加了omniauth-saml。应用程序现在重定向到 ADFS，登录成功但回调失败。我得到错误Invalid ticket。

当我尝试在omniauth-saml lib中查看服务器上的响应时，我可以看到它说：@document=<UNDEFINED> ... </>并且@decrypted_document=<UNDEFINED> ... </>

内容initializers/devise.rb如下：

我该如何解决这个问题？

另外： REXML::Document 似乎无法解密 SAML 响应中的 Cypher。它无法在没有错误的情况下这样做。当我尝试使用https://www.samltool.com/decrypt.php自己做这件事时，我发现它没有任何问题。

我知道nameid不满意，我不只是不确定如何正确阅读。

我有一个 SP 启动的 ADFS 配置文件。

我不断收到以下错误：

Microsoft.IdentityServer.Protocols.Saml.InvalidNameIdPolicyException: MSIS7070: The SAML request contained a NameIDPolicy that was not satisfied by the issued token. Requested NameIDPolicy: AllowCreate: False Format: urn:oasis:names:tc:SAML:2.0:nameid-format:transient SPNameQualifier: . Actual NameID properties: Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, NameQualifier: SPNameQualifier: , SPProvidedId: .

我正在尝试将 ADFS 3.0 配置为使用证书身份验证，但是当我打开浏览器并转到我的 web 应用程序时，ADFS 3.0 页面显示一条消息“选择要用于身份验证的证书。

我已经阅读了一些关于防火墙可能会阻止端口 49443 的帖子，这可能就是这里的情况。问题是我在 msdn 上阅读和阅读，但我仍然不太了解证书身份验证过程。

我的智能卡包含一个证书，该证书应该用于在 ADFS 上对我进行身份验证。当我使用 mmc 查看“AdfsTrustedDevices”时，根本没有证书。

所以我的问题是：我是否将智能卡证书上的证书链（所有颁发者）添加到上述 AdfsTrustedDevices 中？

我正在尝试在自定义声明规则中获取组的自定义属性。

问题是无论我做什么，它总是对用户进行查询。

这是我的自定义声明规则的样子：

//获取所有组用户的规则是：

//获取组上的url属性的规则。

执行此操作时，我在 AD FS 服务器上的事件日志中看到一个错误，指出它正在尝试查找具有 GroupName 的用户。

我如何指定此规则，以便最后一个查询针对组名而不是用户进行

错误信息：

Custom Attribute Store如果可能的话，我想避免写作。我已经这样做了，但我正在尝试找到本机方式来查询 AD 安全组。

我们计划在我们的消费者网站之间实现无缝单点登录，并且需要以下功能，

1. 我们所有的外部用户都应该在单独的活动目录域中。
2. 用户应该在 Java 和 .Net 应用程序之间获得无缝登录。
3. 每个网站的登录屏幕应该看起来不同，即基于依赖方区域和 URL 的不同页眉和页脚。
4. 密码重置应该是一项自助服务。

我们不确定 ADFS3.0 是否适合我们。我对 ADFS 功能进行了一些研究，但找不到任何支持上述功能的直接文档。

如果 ADFS 3.0 足够好，请指导我如何实现这些功能。