问题标签 [adfs]

我正在使用http://technet.microsoft.com/en-us/library/cc753987%28WS.10%29.aspx中提供的这个示例应用程序 来玩弄 ADFS 声明感知应用程序。我的问题是如何获取用户使用 ADFS 的所有角色，上面的代码只有一个示例来检查使用 User.IsInRole(role) 的角色。

我对 ADFS 2.0 非常陌生，我一直在使用域信任，并且我正在对 ADFS 2.0 进行一些研究，以将我当前的 Web 应用程序转换为 ADFS 2.0，我的问题是

1. Web 服务器是否需要位于面向 Internet 的外围网络上？或者我可以使用 Web 代理，或者如果联合代理也支持 Web 服务器内置的代理。
2. 我的 SSL 证书是否需要在我的 IIS 上，或者我可以将它托管在我的负载均衡器上？

1. 我还需要 .net 3.0 及更高版本才能将 adfs 与 asp.net 一起使用吗？

我创建了一个 ADFS windows NT 启用 tokenapp 配置 IIS 7 以在身份验证中启用 windows NT 令牌并将 URL 回复为https://adfsweb.treyresearch.net/tokenapp

我将此应用程序作为基于 Windows NT 令牌的应用程序添加到 adfsresource 应用程序中。

使用此 web.config 文件 (http://blogs.technet.com/b/adfs_documentation/archive/2006/08/03/444865.aspx#DSDOC_BKMK_667328988_f5db_446a_9261_00b4)

default.aspx.cs 如下。

只要我使用 treyresearch,net 用户从 adfsresources 域登录，它就可以工作。

如果我使用来自 adatum.com 域的这个 tokenappp url，我会收到一个错误，并且在 adfsresource 服务器的事件日志中我有这个错误：

这是否意味着我需要在 ADFS 信任之上获得 Windows 信任才能将 Windows NT 令牌用于远程域？如果是这样，那么拥有 ADFS 信任没有意义，如果我还需要拥有 Windows 域信任。

我可以让我的声明应用程序从远程域正常工作，但是在所有信任策略导出导入完成后，我添加了这个新的令牌应用程序http://technet.microsoft.com/en-us/library/cc731103%28WS.10% 29.aspx

我还关注并验证了以下信息 http://technet.microsoft.com/en-us/library/cc734929%28WS.10%29.aspx

我计划为我在 Asp.net/c# 中的一个 Web 应用程序从集成 windows auth 迁移到 ADFS 1.0，我遇到的问题是我无法完全迁移到这个新的基础架构，我需要维护两个系统一段时间. 我的问题是如何设置我的 web.configs ？在升级到 adfs 站点与 Windows 集成端期间，我是否使用 user.configs 覆盖 web.configs。我的计划是在两台不同的服务器上托管 adfs 站点和 Windows 集成站点。以及Visual Studio中的开发如何，我该如何处理？我对 ADFS 很陌生，所以我对 ADFS web.config 的更改不是很熟悉。

在 asp.net 应用程序中，是否可以只对少数页面 (.aspx) 进行 WIF 保护，而其他页面保持不变？

基本上，我想要的是当用户登陆时，他们可以浏览并HomePage.aspx能够转到- 但是当他们尝试访问时，我希望启动 WIF 设置。如果用户已经登录，那就太好了- 否则我们会将用户重定向到 STS 页面，他们可以在其中获得身份验证。PageOption.aspxPageAbout.aspxPageAccount.aspx

现在，我所有的页面都受 WIF 保护。因此，如果我尝试访问任何页面，我都会被重定向到 STS 页面。

我尝试修改 web.config 文件并将我想要 WIF 保护的页面放在一个单独的文件夹中，并提供其单独的 web.config，但到目前为止没有运气。

此外，如果我尝试<authentication mode..在嵌套的 web.config 中设置，我会收到错误消息。为什么我也不能这样做？

我得到的错误是（在第 15 行）：

解析器错误消息：使用注册为 allowDefinition='MachineToApplication' 的部分超出应用程序级别是错误的。此错误可能是由未在 IIS 中配置为应用程序的虚拟目录引起的。

源错误：第 15 行：

只是为了更进一步，我正在尝试做的是允许表单身份验证PageOption.aspx和PageAbout.aspx当用户尝试直接转到PageAccount.aspx我想要然后使用联合身份验证时。

那里有任何安全专家可以对此有所了解吗？

我正在开发一个 asp.net Web 应用程序，它是 TFS 的一部分并由开发团队使用。最近，作为项目的一部分，我们设置了 ADFS，现在正尝试对 ADFS 服务器强制执行项目身份验证。

在我的开发机器上，我已经完成了添加 STS 参考的步骤，该参考生成联邦元数据以及更新项目的 web.config 文件。web.config 中的授权使用指纹认证，这要求我将 ADFS 证书添加到我的本地计算机，并为开发计算机生成签名证书并将其添加到 ADFS。

一切都已设置并正常工作，但正在查看 web.config。和 FederationMetadata.xml 记录这些“似乎”是特定于机器的。我怀疑如果我将项目/文件签入 TFS，下一个进行构建的开发人员或测试人员最终会在他们的机器上构建损坏的构建。

我的问题是在 TFS 内，这样的场景签入并仍然允许我的团队在他们的开发或测试环境中使用最新代码签出、构建和测试项目的过程是什么？

我目前的工作是从签入中排除 FederationMetaData.xml 和 web.config，然后在每台开发机器上手动设置 ADFS 身份验证以及产品测试。一旦完成，每个人都可以阻止他们的 FederationMetatData.xml 和 web.config 的本地副本被签入。（也就是拥有自己的本地副本）然后在签入/签出时只需确保每个开发人员都保留自己的副本（或不将它们检入 TFS）

这似乎效率极低，并且几乎绕过了源代码管理的本质，因为要求开发人员在他们的机器上保留文件的本地副本。这似乎也引入了意外签入本地文件或覆盖本地文件的机会。

有没有人有任何关于如何签入（ADFS）机器特定配置的代码而不是整个开发环境的参考、文档或信息？

提前致谢，

我们计划使用 ADFS 2.0、ACS 和 WIF 为我们的 .NET 应用程序（Web 和 Windows）提供单点登录。我对这些技术很陌生。

我在第 9 频道上看过很少的视频，其中大部分都使用 google、yahoo facebook 提供 SSO。如果您能提供使用 ACS 配置 ADFS 的分步过程，将不胜感激。

是否可以从 WCF 调用 ADFS 和 ACS？我们计划让 WCF 与 ADFS 和 ACS 合作，并向我们的应用程序集发布 SAML 令牌。因此，就像我们的应用程序将调用 WCF 以使用所需的凭据进行身份验证，然后 WCF 将调用 ADFS 以获取 IdPToken，然后 IdpToken 将发送到 ACS 以获取 SAML 令牌，然后将返回的 SAML 令牌转发给应用程序。我试图为此搜索一组示例，但找不到。一些指导或链接将很有用。

它还需要可用于 Internet 的 ADFS？我们是否必须将其公开给公共领域？

我们正在建立一个 ADFS (2.0)，它将负责对多个面向客户的系统的用户进行身份验证。身份验证机制外包给外部合作伙伴，该合作伙伴提供对多个身份验证提供程序的访问。

我们最近遇到了以下情况：

1. 用户尝试访问面向客户的系统 A 并被重定向到 ADFS 进行身份验证。
2. ADFS 将用户重定向到身份验证合作伙伴，在那里他成功进行身份验证。
3. 用户将使用他的身份验证令牌发送回 ADFS。
4. ADFS 将用户发送回系统 A。他现在与系统 A 建立了会话。
5. 用户尝试访问尚未经过身份验证的系统 B，并被发送到 ADFS。

这就是 ADFS 偏离我们预期行为的地方。ADFS 不会识别用户并使用有效的身份验证令牌将他透明地发送回系统 B，而是将他发送给我们的身份验证合作伙伴以进行重新身份验证。

这完全破坏了我们希望为使用系统 A 和 B 的客户提供的 SSO 功能，但我们还没有找到一种方法让 ADFS 建立用户会话并在访问第二个系统期间重新使用它。

有没有人解决过这个问题？

ADFS 是否只能在完全负责身份验证时才提供单点登录？

如何将 ADFS 配置到不同的 ADAM 存储而不是安装 ADFS 的域/AD？

例如：ADFS 2.0 安装在 xyz.com 域上，用户身份验证发生在一些 ADAM 存储中（我们只有连接字符串）...

我正在使用带有 .net 2.0 Web 应用程序的 ADFS 2.0 我试图在我的 Web 应用程序上获取 httpcontext.current.user.identity.name 但它是空的。我需要设置什么声明规则才能获得这个值？我已尝试转换传入声明传入声明类型：AD FS 1.x UPN 传出声明类型：名称 ID 传出名称 ID 格式：UPN

我也尝试发送 Ldap 属性作为声明属性存储：Active Directory

LDAP 属性传出声明类型 SAM-Account-Name SamAccountName Token-Groups- Unqailfied Names Group User-Principal-Name AD FS 1.x UPN

我的代码用于 ADFS 1.0 我将 fs url 更改为 adfs2.0 并且我开始看到这个问题。