问题标签 [adfs]

我有一个 ASP.NET 网站，它使用 ADFS 2.0 来提供声明。在 ADFS 上，我实现了自定义属性存储。这家商店从旧的遗留系统中获得了一些特殊的要求，这可能需要一些时间（20 -30 秒）

我想知道的是如何做我只在需要时才获得此索赔。我不想在客户首次登录时收到此声明。它并不总是必需的。如何返回 ADFS 服务器并让它重新发出用户声明并添加一个额外的声明？

提前感谢您的帮助。达林

更新：是否可以从客户端（使用 WSTrustChannel 作为活动客户端的 ASP.NET 页面）向 ADFS 服务器发送一些内容，然后我可以在我的声明规则条件之一中对其进行测试？

我正在开发一个门户样式应用程序（使用 asp.net/mvc），它将链接到其他应用程序。我正在考虑使用 ADFS 和支持 AD 进行身份验证。我想为门户和这些单独的应用程序启用单点登录。这些单独的应用程序（一些和 Java 和一个在 ruby​​ 中）将信任 ADFS，并且可以接收 SAML 令牌进行身份验证。

用户必须登录到这个门户应用程序，因为用户已经登录到门户，所以到门户中其他应用程序的链接将无缝工作。本质上，我的门户是身份提供者。ADFS 可以实现这种情况吗？

我从 ADFS 2.0 事件日志中收到一个奇怪的错误，如下所示：

“Federation Service 无法完成令牌颁发请求，因为依赖方 'https://my-relying-party' 缺少 WS-Federation Passive 端点地址。

依赖方：https://my-relying-party

此请求失败。

用户操作

使用 AD FS 2.0 管理管理单元在此依赖方上配置 WS-Federation Passive 终结点。”

这发生在 ADFS 2.0 成功验证 SAML 响应但显然无法为依赖方应用程序颁发令牌之后。

我在 ADFS 2.0 中将 IDP 和 SP 都配置为 SAML 2.0，所以我不明白为什么需要 WS-Federation 端点？

任何帮助将不胜感激。

我们正在运行 ADFS 2.0 并与各种 STS 联合。

是否可以与 Windows Live、OpenID 和 Facebook 联合？

我们的一些用户已经拥有这些类型的凭据，能够使用它们将是一个额外的好处。

如果是这样，“添加声明提供者信任”向导中的联合元数据地址将使用哪个 URL？

还有其他陷阱吗？

我收到了许多使用 ADFS 的浏览器错误消息，全部形式。

访问该网站时出现问题。尝试再次浏览该站点。如果问题仍然存在，请联系该站点的管理员并提供参考号以识别问题。参考编号：c14bcf7c-268d-46be-82c3-7c1d873c3df2

我试图在事件日志中找到这些都无济于事。

您如何使用参考编号来追踪错误？

我下载了该工具并在安装了 ADFS v2.0 的 Windows 2008 R2 服务器上运行它。

所有角色等都是灰色的，LHS 上的按钮也是灰色的。

说明说要在“数据文件”文本框中选择一个新文件，例如 adfsdiag.out，然后“运行”该工具。我假设您通过单击“导出”来“运行”它，但它是灰色的。

我可以导出 adfsdiag.cab 文件，但是当我尝试将其选择为数据文件时，我收到一条错误消息，指出该文件不包含有效数据。

无论我做什么，“数据文件”文本框以外的控件都是灰色的。

我显然缺少一些基本的东西——只是不知道是什么！

有没有人成功地做到了这一点？

SelfSTS是 WCF 应用程序而不是 ASP.NET 应用程序，似乎没有很多示例或代码示例用于进行 WCF 集成？

这将非常有用，因为 SelfSTS 允许您动态创建对单元测试非常有用的声明组合。

更新：

这是问题所在：

SelfSTS 提供的联合元数据是 http URL 而不是 https，因此您必须将 xml 保存到文件中。如果在添加 Claims Provider 信任时将 http URL 输入到 ADFS，它将抛出一个错误，指出它只接受 https。

从文件导入数据时，ADFS 抱怨某些联合元数据被跳过，因为它不受 ADFS 支持。

然后我为名称和电子邮件添加传递规则。

SelfSTS 现在出现在索赔提供者列表中。

但是，当我查看属性时，它没有端点。列表中的所有其他 STS 都有一个 WS-Federation Passive 端点。（这些都不是 WCF）。我本来希望 SelfSTS 有一个 WS-Trust 端点？

如果我随后连接到在我的 ADFS 中配置为 RP 的应用程序，则 Home Realm Discovery 下拉列表包含我的所有被动声明提供程序的条目，但没有 SelfSTS 的条目？

想象一下，我有 ADFS 位于 AD 之上，并且有许多内部用户登录到声明感知应用程序并从 AD 获取声明。

同时，我们有外部用户必须先注册，然后使用他们注册的外部身份登录。

Azure ACS 是我可以与 ADFS 联合的 STS。这允许外部用户使用 Yahoo / Facebook / Google 等登录。

现在想象一下，我们希望允许现有的外部用户能够使用他们现有的 Yahoo 帐户登录。

我如何将他们的雅虎凭据与存储在 AD 中的信息相关联？

新的外部用户在注册时需要哪些信息，以便他们可以选择例如他们现有的雅虎帐户作为登录名，但仍然能够在 AD 中找到他们的正确身份？

我想在我的 MVC 站点中支持多种身份验证机制，例如 oAuth 和 ADFS。这可能吗，我将如何使用其中一种？

我的理解是 ADFS/WIF 将连接到整个站点，以防止诸如 oAuth 之类的替代方案

假设有两家公司：A.NET 是一家 .NET 商店，B.Java 是一家 Java 商店。每家公司的用户都需要访问另一家公司的网站，因此两家公司使用 ADFS 和 Oracle 身份联合或 OpenSSO 联合来建立联合。

在 .NET 世界中，属性作为 IClaimsPrincipal 和 IClaimsIdentity 中的声明进行访问。

在 Java 世界中，属性作为 HTTP 标头访问。

联邦基础设施是否自动执行此映射，即

如果 A.NET 用户访问 B.Java 站点，他们是否将其属性作为声明？

如果 B.Java 用户访问 A.NET 站点，他们是否将其属性作为标题？