问题标签 [adfs]

我正在尝试启动 OpenSSO(OpenAM) fedlet 并针对 ADFS2.0 服务器运行。我已经导入了他们的元数据 (idp.xml) 并与 ADFS 服务器交换了证书。我不得不从 XML 文件中删除一些元素；声明类型和其他一些此类元素。

当我单击“使用 HTTP POST 绑定运行 Fedlet (SP) 发起的单点登录”链接以尝试 SSO 时，我被退回到“HTTP 状态 500 - 单点登录失败”页面。

我的 fedlet 在 myServer.domain.net 上运行，ADFS 服务器是 adfs.domain.net。

我已经解码了向 ADFS 服务器发出的 SAML 请求：

这些是我的 jboss 日志中的错误和堆栈跟踪：

来自 ADFS 服务器的 SAMLResponse：

错误/堆栈跟踪：

这可能来自编辑 ADFS 服务器提供给我的元数据吗？我很难弄清楚从这里挖到哪里。

谢谢，

我正在创建一个具有 2 个 Web 角色的 azure 应用程序。一种 Web 角色是普通的 Web 应用程序，另一种则集成了 ADFS。Web 角色（ASFS 角色）将用户重定向到身份验证后的第一个 Web 角色以继续正常的应用程序流程。从 ADFS Web 角色重定向到第一个 Web 角色时出现以下错误。

找不到程序集“Microsoft.IdentityModel，Version=3.5.0.0，Culture=neutral，PublicKeyToken=31bf3856ad364e35”。

我已将 CopyLocal 设为 true，以防 dll 不可用。但是，之后观察到同样的问题。谁能告诉我这里有什么问题？谢谢，阿什瓦尼

有这样的问题

我们已声明为该站点配置了感知的 asp.net 站点和 adfs 服务器

所以，我们已经 - 我们启动了我们的 Web 应用程序 - 移动到 adfs 服务器进行身份验证并返回到网站 - 结果我们有错误的服务器页面，其中包含我们网站的 url

Windows 日志显示，此时我们收到这样的警告 - 正如我建议的与服务器错误页面中的错误完全相关

带有空用户和 IsAuthenticated = false 的部分非常混乱......这是否意味着我们没有通过 ADFS 身份验证或者它显示请求站点的当前结果

所以，不幸的是，我不是这方面的专家，并且在本周与它作斗争

有人可以帮我解决问题吗？

非常感谢

有这样的桌面应用程序似乎可以工作，但最终作为令牌返回加密的 saml 你能提示我如何解密它吗

谢谢

更笼统地说，谁在 Windows 平台上成功使用了 WIF/ADFS/SSO，是否值得实施，它成为持久技术的可能性有多大？

从表面上看，通过阅读有关该主题的一些白皮书 (PDF)、文章和书籍，这似乎是一个完美的解决方案——尤其是对于拥有内部网站的公司而言，该网站向外部用户和合作伙伴公开了某种程度的功能，例如好（或计划在未来）。但这听起来几乎太完美了。而且我掌握的大部分信息都来自微软自己。

我想我的具体问题是：

• 这是一项持久的技术并且值得投资（特别是对于规模较小（<50 人）的公司）？
• 有没有大公司在积极使用它？
• 如果我们希望其他人作为受信任的发行人为其公司提供身份验证，合作伙伴愿意设置 STS 的可能性有多大？这里会有很多反击吗？
• 这最终会成为配置的噩梦吗？
• 在决定是否实施这一点时，是否还有其他需要注意的陷阱？

我们目前正在使用内部 SSO 解决方案，使用 2 因素身份验证，生成 SAML 以允许 SSO 到谷歌应用程序和销售人员。我们正在寻求支持 Office 365。

我正在查看 Office 365 的所有文档，据我所知，它使用 SAML，但前提是由 ADFS 提供。

是否可以将 Office 365 与纯 SAML 解决方案一起使用？或者是否可以将 ADFS 与另一个身份提供者（所以不是 Active Directory）一起使用。

我看过一个带有 Tivoli IP 的示例，但我不太了解角色，如果我理解正确，它实际上会将实际身份验证从 ADFS 推迟到 Tivoli，但这是正确的吗？如果那是真的，那就太好了:)

除此之外，从我的 google-expedition 中，我可以看到以下选项可将我们自己的 SSO 解决方案与 Office 365 一起使用：

1. 调整 ADFS (aspx) 的登录页面并在那里添加我们的 2fa 解决方案。（来源）
2. 使用 Forefront UAG，但不确定这到底是什么意思（来源）
3. 使用伪装成 ADFS 的服务（source --in the comments）
4. 使用 SAML 联合身份验证（如果我理解正确的话）（来源）

从 3. 我会得出结论 4. 是不可能的，但这只是旧信息，现在不再有效吗？

感谢您提供任何有用的见解:)

ClaimTypesRequested 部分似乎是从 ADFS 中的“Claim Descriptions”选项卡构建的，并且 web.config 和 metada 在通过 FedUtil “绑定”时继承了这个。

• WIF会以任何方式比较两者吗？
• RP 列表是否必须是子集？
• “不同步”时是否会抛出任何错误？

例如，您可以在 ADFS 声明规则中定义未出现在任一列表中但似乎可以通过 RP 的自定义声明？

这是我安装 ADFS 脚本的一部分。非常简单，但似乎 Start-Process 正在以一种有趣的方式解析开关。有什么我想念的吗？

如果我执行上述脚本，我会在日志文件中得到以下内容：

如果我手动执行完全相同的命令（来自 write-host 的输出），一切正常。

有任何想法吗？谢谢你。

我可以在我的私人服务器上安装 appfabric 并获得 ACS 在云中提供的相同服务吗？具体来说，我希望能够在我的 asp.net mvc 应用程序中接受 Live Id、Goggle 和 Facebook 登录，但我不想使用 Azure 或为其他基于云的产品付费。

从在 Windows 上运行的 Google Chrome 或 Firefox 3.5+ 对 AD FS 2.0 使用 NTLM 身份验证时，这会导致重复登录对话框并最终登录失败，并出现带有“状态：0xc000035b”的“审核失败”事件。

这可以通过关闭 IIS 中“/adfs/ls”Web 应用程序的“扩展保护”来“解决”。这在几个地方都有记录；有关详细信息，请参阅我对另一个 StackOverflow 问题的回答。

我的问题是：如何在不关闭“扩展保护”的情况下使 AD FS 的 NTLM 身份验证适用于这些浏览器？我的意思是，在 Internet Explorer 中，“扩展保护”打开时效果很好，为什么 Chrome 或 Firefox 不能呢？或者这是 Chrome/Firefox 实现错误/限制，例如，在他们使用 Windows NTLM 库时？

更新：我应该提到我想在不强迫人们更改浏览器设置的情况下这样做。