问题标签 [adfs4.0]

我创建了一个需要访问多个 API 的 asp.net 核心 Web 应用程序。身份验证应该通过 ADFS 进行。我能够设置 OpenId Connect 身份验证并检索单个 api 资源的 access_token。如何检索其余 API 的 access_tokens，以便我可以调用它们或一个具有多个受众的 access_token？

通常我应该添加范围，但似乎 ADFS 对于范围的含义与 IdentityServer 不同，而是使用“资源”选项。

然后我可以，在需要的时候打电话

然后将令牌添加为承载并验证它就好了。如果我从一开始就添加它，这对每一个资源 (API) 都适用。但是，我似乎一次无法获得多个资源的访问令牌。

ADFS 甚至可以吗？我是否应该为具有多个受众的所有 API 资源检索一个访问令牌（因为所有 API 的身份提供者都相同）？

主题：将外部 ADFS WS-Fed SAML 声明信任到内部 ADFS OpenID 应用程序组

1. 客户端将 Web 门户设置为 ADFS 2012 的依赖方，并带有 WS-Fed SAML 声明
2. 我们在 ADFS 2019 应用程序组中启用了 OpenID 的应用程序
3. 客户希望我们的应用程序在访问我们的应用程序时信任他们的门户网站登录
4. 我们在 ADFS 2019 中将客户端 ADFS 2012 设置为声明提供者信任

这不起作用，我们无法从 ADFS 2012 获得索赔。

我正在使用 OpenID Connect 和 OAuth 2.0 直接针对 AD FS 4.0 对用户进行身份验证和授权。我将我的 Angular + ASP.NET Core 应用程序作为 Native 和 Wep API 应用程序添加到应用程序组。如果我在 AD 中更改用户密码，用户将仅在 1 小时内重定向到登录页面。在几分钟内更改密码时，我需要将用户重定向到登录页面。

为此，我在 AdfsWebApiApplication 属性中将 TokenLifetime（访问令牌生命周期）从 60 分钟减少到 2 分钟。每 2 分钟检查一次刷新令牌，但尽管更改了密码，但没有发生重定向。用户在 60 分钟内仍被重定向到登录页面。我还尝试在 AdfsProperties 中将 SSOLifetime 减少到 5 分钟，但在这种情况下，无论密码更改状态如何，用户都会每 5 分钟被重定向到登录页面。

获取 AdfsWebApiApplication：

获取 AdfsProperties：

我想 PasswordValidationDelayInMinutes = 60 对此负责。但我无法使用 Set-AdfsProperties 命令更改此参数。

如何在 2 分钟内将用户重定向到登录页面？

我正在使用 OpenID Connect 和 OAuth 2.0 直接针对 AD FS 4.0 对用户进行身份验证和授权。我将我的 Angular + ASP.NET Core 应用程序作为 Native 和 Wep API 应用程序添加到应用程序组，并提供了 Native 应用程序的重定向 URI 列表。

当用户从应用程序注销时，他们不会重定向到登录页面。我检查了答案ADFS 2016 oAuth not redirecting to login page after logout但在我的情况下 id_token_hint 和 post_Logout_Redirect_Uri 被指定：

http:/localhost:5000 被添加到本机应用程序属性中的重定向 URI 列表中。在启用跟踪的 adfs 日志中也找不到错误或警告。

设置一些 adfs 属性时我可能错过了什么吗？

我正在使用 ADFS 4.0 使用 OpenId Connect / OAuth2 流对我的移动应用程序进行身份验证。基本上，当我登录我的应用程序时，我的移动应用程序会打开一个浏览器来启动流程。每当我从应用程序中注销时，我都需要触发 ADFS 注销页面以清除 cookie 并重定向回应用程序。

我遇到的问题是，当我通过 ADFS 成功进行身份验证时，我需要在我的 API 中为有时会失败的用户执行一些用户验证。如果验证失败，会话 cookie 将保留在移动设备浏览器中，因此不再提示用户输入凭据，因此他陷入无法再次登录应用程序的循环中。我什至不需要将会话 cookie 存储到移动设备浏览器中，因为我使用访问和刷新令牌来处理身份验证后的流程。

我已将我的应用程序配置为 ADFS 中的本机应用程序/Web API。有什么方法可以禁用将 cookie 保存在移动设备浏览器中，或者有没有其他方法可以解决这个问题？

是否可以将 ADFS SSO 与移动客户端一起使用？如果是这样，如何注册？或者是否有解决方法？

我正在尝试code flow with pkce在具有 ADFS 2019 的 Angular 客户端中实现。我目前收到错误消息Unable to validate code_verifier。

我正在生成code_verifier并code_challenge使用以下算法：

code_verifier = base64UrlEncode(randomString(length)) 在哪里length=45
code_challenge = base64UrlEncode(sha256(code_verifier))

我已经检查了code_verifier我发送的内容以及code从 ADFS 收到的内容，它与构建登录 url 时生成的内容相匹配。

我的实现有问题吗？

编辑：我可以调试 ADFS 并查看它接收到的字符串以及与之比较的字符串吗？

我已使用 ADFS 将 Azure AD 配置为依赖方。在到达 ADFS 端点后，我能够从 ADFS 获得 SAMl 断言。但是当我尝试使用相同的 SAML 断言获取访问令牌时，它给出了错误的请求。我找不到此类 API 请求的任何官方文档，只有 SAMl 断言文档没有明确提及或描述请求中所需的参数。以下请求格式正在使用，端点：https: //login.microsoftonline.com//oauth2/v2.0/token 标题：内容类型：应用程序/x-www-form-urlencoded 正文：grant_type：urn:ietf:params :oauth:grant-type:saml1-bearer 范围：https ://graph.microsoft.com/.default client_id：XXXXXXXX client_secret：XXXXXX 断言：从 ADFS 接收的 Base64 编码的完整 SAML 断言，包括

我没有得到这里缺少的东西？

产品：ADFS 4.0

我已经使用 https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/ad-fs-openid-connect中的参考设置了一个应用程序组来测试“设备代码”流-oauth-flows-scenarios#device-code-flow并且它正在工作。但是，我想自定义来自 ADFS 的响应，尤其是此消息（请参阅图像中突出显示的部分），但我找不到任何方法来做到这一点。

有人可以帮忙吗？

我们有一个windows R2 2012 server启用了 ADFS 并且能够成功添加 MFS 的安装程序，现在我想将其推广为主要身份验证器。

我知道从 ADFS 2019 开始，我们可以覆盖主身份验证器，但如何在旧版本中实现呢？

是否还有其他可能性，例如将 ADFS 与任何 SAML 提供程序集成。如果是这样，身份验证将在哪里进行？