问题标签 [adfs4.0]

呼叫所有 Windows 专家 :)。经过长时间的测试，我能够让 ADFS4.0 与第三方应用程序一起工作。我可以成功导航到第三方应用程序，单击登录并重定向到我的 adfs 联合域并提示登录，登录没有问题，然后登录到第三方站点。

我浏览了有关 ADFS 与 IWA 集成的各种不同文章，无论我做了什么配置，我都会继续收到我不想要的登录要求。

我当前设置的简要演练。请注意，它们不是真实姓名，但我认为我会更容易命名它们，以便让您了解我的设置当前如何。仅托管证书的 ADCS 服务器。adcs.dctestdomain.local 托管测试域 dc.dctestdomain.local ADFS 服务器的域控制器 = adfs.dctestdomain.local。联合服务器场是 adfs.publicdomain.com

我遵循了以下内容： https ://help.hcltechsw.com/domino/11.0.1/admin/secu_creating_the_spn.html host/adfs.publicdomain.com dctestdomain.local\SSOTest spn = http/adfs.publicdomain.com dctestdomain.local\SSOTest

在 adfs 服务器和正在测试 adfs 登录的 VM 中进行了适当的更改

我做过的其他事情： nslookup -debug adfs.publicdomain.com shows that there is an A record and not a cname (Get-AdfsProperties).WiaEvaluationMethod returns: WiaUserAgentDetection

显示的值位于以下位置：

在内网区域设置fqdn农场，选择使用用户名和密码自动登录（也尝试过仅内网）既不工作设置自动检测内网网络

在受信任的 Internet 区域中设置公共域名并设置相同的设置以用于测试目的。没有负载均衡器

每次我从第 3 方站点重定向时，我仍然必须登录到 ADFS。有谁知道问题可能是什么？出于安全原因，我没有提供真实的域名或帐户名，但我认为我提供了最好的信息。如果您需要更多，请告诉我。任何帮助将不胜感激。

如果两个 ADFS 服务器使用 wid（adfs1 和 adfs2）进行负载平衡，两个 ADFS 代理服务器（proxy1 和 proxy2）也进行负载平衡。proxy1 上记录了一条错误消息，指出“联合代理服务器无法更新其与联合服务的信任”（事件 id 394）。

修复似乎是确保 proxy1 正在与主 ADFS 服务器 adfs1（而不是负载平衡 adfs1 和 adfs2 作为 adfs.domain.com 的 VIP）对话并重新注册它。我通过将 FQDN adfs.domain.com 设置为指向 proxy1 上的主机文件中的 adfs1 来做到这一点。我希望它会继续想要更新信任，所以我应该保持这种状态。这似乎打破了 2x2 的完整网格冗余，因为 proxy1 只会与 adfs1 对话。在此配置中是否有更好的方法来处理此问题？

我知道迁移到 SQL Server 可能是一种选择，但这是我想避免的另一个单点故障，因为这不是一个庞大的部署。还有其他想法吗？

谢谢您的帮助！

麦克风

有关的：

https://social.msdn.microsoft.com/Forums/en-US/f25e9170-b0ad-4894-8622-c2a0493df5eb/adfs-30-wap-connection-to-primary-adfs-servers-maintaining-the-wap-信任？论坛=ADFS

https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin-mso_dirservices/adfs-30-proxy-loses-trust-with-internal-adfs/55aaf56f-f093-4620-ae87-9ad777c3a71d

我通过在 ADSI 编辑中将其搜索标志设置为 128 将“员工编号”AD 属性标记为“机密”（https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/mark -作为机密的属性。

我已经验证域管理员可以阅读它而非管理员不能。我还验证了 ADFS 服务帐户是域管理员。

但是，如果我尝试通过简单的 ADFS 声明释放该属性，它就不起作用。我还验证了如果我将 SearchFlags 值切换回 0，则声明会按预期释放。

我们将 React 应用程序作为前端应用程序，将 .NET Core Web API 作为后端应用程序。我们的客户要求是集成 ADFS SSO。我们的客户已经在他们的 Windows Server 2016 中运行了本地 ADFS。

经过一番谷歌搜索后，我脑海中出现了以下问题。

1.) 根据我的分析，ADFS 支持以下登录协议（SAML 2.0、WS-Federation 和 OAuth）。对于我们的应用程序设置（React/.NET Core Web API），我们应该使用哪种协议？

2.) 我们的客户要求我们使用 SAML2.0。SAML 2.0 协议是否可以用于我们的应用程序架构（React/.NET Core Web API）？

3.) 要在本地 ADFS 中配置我们的应用程序，我看到了以下选项（依赖方信任和应用程序组）。对于我们的应用架构，应该使用哪一个？

请帮我谈谈你的想法。由于我是 ADFS SSO 的新手，因此我无法对上述问题做出任何具体决定。非常感谢您的帮助。提前致谢。

我正在尝试在使用 ADFS 2016 作为 STS 的应用程序中实现“代表”流程。作为参考，我查看了此 Microsoft 教程（https://docs.microsoft.com/en-ca/windows-server/identity/ad-fs/development/ad-fs-on-behalf-of-authentication-in -windows 服务器）。它可以正常工作，我可以登录到我的 Web 应用程序，然后在 UserAssertion 中使用我的原始访问令牌生成一个新的访问令牌，让适当的受众调用我的 API 但我发现绝对没有办法包含任何用户信息（子，名称、电子邮件、upn 等）添加到我的 API 的访问令牌中，即使我在 API 的 ADFS 配置中设置了声明规则。

我使用 Fiddler 检查了我的应用程序和 adfs 之间的通信，一切看起来都像教程中的信息。请参阅下面的“代表”请求的屏幕截图：

这是生成的访问令牌：

最后，这是我用来生成新访问令牌的代码：

您是否遇到过这种情况，如果是，您是否找到解决此问题的方法？

谢谢

是否可以启用和使用多个 MFA 解决方案。例如，是否可以在如下所示的 ADFS 设置中同时选择 DUO 和 Azure MFA 选项，并创建一个规则/策略来指示一些组/用户使用 Azure MFA，而另一个使用 DUO？

我们已经配置了 OAuth 的 MSD CRM 本地 IFD 设置我们已经执行了以下步骤：-

1. 创建 ADFS 应用程序
2. 使用应用程序 ID 在 CRM 中创建应用程序用户
3. 添加了以下转换规则：- (1)通过 Primary SID (2)通过 UPN (3)将 Win Acc Name 转换为 name

我们仍然无法使用 grant_type=client_credentials 生成有效令牌

请帮助我理解为什么当我们尝试使用此令牌访问它抛出 401 的 CRM 实体时，grant_type=client_credentials 未生成有效令牌

注意：- 我们能够生成一个有效的令牌，通过 grant_type=password 访问 CRM 实体

目前正在通过 Postman 尝试此操作

我们有一个 MVC 应用程序 (<myapp.somedomain.com>) .net 4.5.2 (OWIN/ADAL)，它通过 OIDC/OAuth2 使用 ADFS2016 进行 AuthN/AuthZ。用户的凭据和属性存储在 AD LDS 中。客户端 (X) 请求通过其 IdP over SAML2 在应用程序中进行身份验证。在不更改应用程序的情况下这可能吗？

我正在寻找的流程；对于此客户端，应用程序的 URL 将是 (<myapp.somedomain.com/?client=x>)。我们的 ADFS 会识别客户并将其重定向到他们的 IdP，他们将在其中进行身份验证，然后将他们连同一些预定义的声明一起发送回我们的 ADFS。我们的 ADFS 会将这些声明映射到 Id 令牌/访问令牌以供我们的应用程序使用。我是在做梦还是这确实可行？

任何关于如何实现这一点的文章/文档的链接都将是最有帮助的。

我们在向 ADFS 添加依赖方信任时收到附加错误。这需要完成，因为我们的 CRM 测试服务器必须修复，因为它没有接受新补丁。当我们遇到此问题时，我们重新安装了 CRM 并尝试重新配置 IFD

添加信赖方时出错

ADFS 中是否有任何可用的令牌自省端点？

我正在使用 oauth2 配置来获取令牌。我可以通过 jwks 密钥验证资源服务器中的令牌。我能够检查令牌的有效性。但不是实际状态。我正在尝试使用教程来检查状态。但我找不到内省端点。

此OAuth 标准指定将有一个自省端点。

我不确定 https://adfs_domain/adfs/oauth2/token/introspect 这个 URL 是否正确。但是当我尝试时，我得到了

错误详细信息：MSIS7065：路径 /adfs/oauth2/token/introspect 上没有注册的协议处理程序来处理传入请求。

谁能帮忙？