问题标签 [adfs4.0]

我们的 Winforms 应用程序与 WCF 服务通信，我需要实现基于声明的授权。两者都使用 NET Framework 4.5.2

根据此链接，没有可用于 VS 2015 的 STS 工具，我准备在单独的工作站上安装 VS 2012 以进行此开发。我只是想使用VS 2012中的工具来帮助我弄清楚所需的配置。

ADFS 4.0 的大多数文档都适用于 Azure 和 WebAPI，我找不到使用 Windows Server 2016-ADFS 4.0+WCF 进行设置的单个示例。

是否可以使用 WIF 为 ADFS 4.0/Windows Server 2016 配置 WCF 服务？

我们计划构建一个使用 ADFS 进行身份验证的 Web 应用程序。Web 应用程序将托管在 AWS 实例上，但将与本地或云 ADFS 通信。

在这种情况下，我可以使用 ADAL（Active Directory 身份验证库）来联合身份验证和保存身份验证上下文吗？如果是，有什么缺点吗？

我在需要在外联网中调用 REST API 的桌面上运行常规的基于 Windows 的 C/C++ 服务，该 Web 服务将作为依赖信任方添加到 ADFS（Windows 服务器 2016 /ADFS4.0）中，因为该服务没有t 与我计划使用“用户证书”身份验证方法的用户交互。（我希望这是有道理的）

对于大多数 ADFS 位，尤其是 cert auth，MSDN 在无浏览器客户端方面非常薄弱。

问题是，用户证书身份验证是否与 TLS 身份验证相同？如果 c/c++ 服务在 TLS 握手中将正确的用户证书作为客户端证书提供，它会起作用吗？

我正在使用 AD FS 中的 WS 联合选项让用户登录我们的网站 ( WebsiteA)。现在我们需要对另一个供应商进行 SSO ......让我们说WebsiteB。

要执行 SSO，我只需IdpInitiatedLogin通过我的 AD FS 启动，然后用户登录到 WebsiteB。

用户通常在 WebsiteA 中的每个帐户在 WebsiteB 中拥有 2 个帐户。要登录到 WebsiteB 中的帐户，我们在 IdpInitiatedLogin 之前从 WebsiteA 设置 LDS 中的属性。这为 WebsiteB 设置了一个声明，因此它知道要使用哪个帐户。

问题是当我们在 LDS 中的同一属性中设置不同的值时，它不会在 SAML 的声明信息中刷新，如 websiteB 所示。

有没有办法在 IdpInitiatedLogin 进程之前刷新 SAML/令牌或声明信息，以便用户登录到正确的帐户？

我在 Azure VM 上有 ADFS 4.0，并尝试将 ADFS 作为提供程序添加到我的 Azure AD B2C 租户。

我已经设置了所有自定义策略。

我使用 OpenID Connect 作为协议。

我的 ADFS SSL 证书是自签名的，并且我有加密和签名证书的证书翻转。

我在 Application Insights 中遇到的错误是：

Exception {"Kind":"Handled","HResult":"80131501","Message":"远程证书根据验证程序无效。","Data":{}} Kind Handled HResult 80131501 Message The remote根据验证程序，证书无效。

我假设我需要将 ADFS SSL 证书上传到 Azure AD B2C 策略密钥？我该怎么做？

此外，在 CryptographicKeys 部分中，它会是什么样子？特别是 - “KeyId”使用什么？

我有以下我试图解决的问题：

域DomA中有一个 MVC Web 应用程序(AppA) ，它被配置为使用 CUSTOM STS 进行身份验证/授权。

另一方面，我们在另一个域MyCRM 域中安装了 CRM，该域被配置为使用 ADFS（ADFS 与 CRM 在同一个域中）。

我们想要实现的是AppA能够将数据发布到 Dynamics CRM Web API，但我们不希望AppA的用户重新输入凭据或与 ADFS 进行有关身份验证/授权的任何其他类型的交互。AppA应该能够从 Javascript（客户端）和后端（MVC 控制器）发布数据

我们怎样才能实现上述目标？DomA 域的 Custom STS 和 MyCRM 域的 ADFS 之间应该建立什么样的信任？

目前正在为客户请求首次集成 ADFS 解决方案。我们的客户希望使用他们的文档和电子邮件管理服务 NetDocuments 提供的联合登录功能，我们需要在自己的应用程序中模仿和支持该功能。

我们已经设置了一个本地 ADFS 域，并且已经达到了能够获取我们的 saml url 请求的地步，https://domain/adfs/ls/wia?SAMLRequest=...但是从那里我们无法处理 saml 响应，其中 ADFS 登录页面将显示在浏览器中以使用他们的网络凭据登录。我们得到的是一个响应字符串，当以 HTML 格式查看时，错误为“脚本已禁用。单击提交以继续”。

一旦我们能够对用户进行身份验证，我们就会从 NetDocuments 收到一个代码，我们可以在我们的应用程序中使用该代码来检索令牌以供将来登录。

是否可以以编程方式对用户进行身份验证并绕过浏览器中的 ADFS 登录屏幕？

我们希望将我们的 ADFS 服务器与 2 个合作伙伴 IDP 联合起来。看来他们为两个测试环境联合服务器使用了相同的签名证书。因此，ADFS 3 不允许我导入第二个声明提供程序。

此评论似乎表明 ADFS 4 (Windows Server 2016) 支持使用相同签名证书的多个 IDP，但我找不到任何证实这一点的支持文档。

有人可以确认这是否受支持吗？

这个已经有一段时间了，我正在尝试构建一个可以调用 .net web/wcf 服务 SP 的控制台应用程序，第一步是从 idP (ADFS4.0) 获取一个令牌，粘贴的代码正在工作一整天都很好，在某些时候它停止工作并出现以下错误：

SOAP security negotiation with 'https://adfs.domain.in/adfs/services/trust/13/windowsmixed' for target 'https://adfs.domain.in/adfs/services/trust/13/windowsmixed' failed. See inner exception for more details.

内部错误是：

The Security Support Provider Interface (SSPI) negotiation failed.
NativeErrorCode: 0x80090350 -> SEC_E_DOWNGRADE_DETECTED

我已经尝试过 /13/windows 和 /windowstransport 以及端点。

我正在尝试使用 ADFS（本地）设置我们的 Angular SPA + .ASPNET Core API 以摆脱 Windows 身份验证。最终目标是：

• Angular SPA -> 将用户重定向到 ADFS 并接收 id_token
• Angular SPA -> 使用此令牌调用 API
• Angular SPA - > 不时刷新令牌

在 ADFS 上正确配置了 Angular SPA 和 API。我正在使用angular-oauth2-oidc来配置水疗中心。

问题是：加载 SPA 时，当 SPA 尝试到达 OpenId Discovery 端点 ( .well-known/openid-configuration) 时，我收到 CORS 错误。所以我什至无法将用户重定向到 ADFS。没有任何效果。

我在网上看了很多，只发现很多其他人说 ADFS 不支持 CORS。不过看起来很奇怪。Microsoft 声称他们支持单页应用程序，因此您已经或多或少假设 ADFS 将接收 CORS 请求。

有没有其他人碰到过这个问题？说真的，微软已经实现了这一点并且没有以允许 CORS 请求的方式构建？

编辑：我还尝试围绕 adal.js 创建一个包装器。我设法将用户重定向到 ADFS，登录并获取 id_token。现在的问题是 stsaud在令牌中返回 spa 的声明，而不是 api。当 SPA 使用令牌调用 API 时，它按预期失败。感觉我在这方面遇到了死胡同。