问题标签 [adfs]

我已经为 asp.net 4.0 应用程序实现了 ADFS 身份验证。我已经使用 webfarm 配置在生产环境中托管了该应用程序。该网站运行良好，所有图像都在 IE8 浏览器中正确呈现。但是当我尝试在 Safari 浏览器中浏览应用程序时，网站有时无法正常工作，并且图像也无法正确呈现。

通过使用 Fiddler，我发现有时图像无法正确渲染，并且出现以下错误：

然后我尝试按照下面提到的链接：

http://social.msdn.microsoft.com/Forums/en/Geneva/thread/ea00ec3f-ebdf-427c-929f-d4a196650552

但它也没有为我工作。然后我尝试在 webfarm 配置中停止一台服务器，然后发现该网站在 IE8 和 Safari 浏览器中运行良好。在 IE8 浏览器中，它始终可以正常工作，并且所有图像都可以正确呈现，但 Safari 浏览器不会在 webfarm 中的两个服务器都打开的情况下。

经过分析，我发现从 ADFS 我得到了一些 cookie 形式的索赔信息，并且 cookie 的长度更多。对于 IE8 浏览器，cookie 长度更长，对于 Safari，允许的限制是 4097 个字符。

因此，我想到了最大化 Safari 浏览器的 cookie 限制。

任何人都可以通过提供任何代码示例来帮助我解决这个问题。

谢谢和问候， 桑托什·库马尔·帕特罗

我们有一个使用 IFD 的 CRM 2011 实施，这反过来意味着使用基于声明的身份和 ADFS。我正在努力确定如何让我的用户在多个浏览器会话中保持登录状态。

我不是 ADFS 专家。我知道足以观看 CRM IFD 的 How-2 视频并单击向导。通常我会立即将自己带回谷歌，但到目前为止我没有运气。

任何人都可以就我如何在此设置中配置某种登录持久性提供一些指导吗？即，即使用户关闭浏览器，用户也能保持登录状态并直接返回 CRM。

我正在使用 ADFS 和 SAML 2.0 设置单点登录 (SSO) 系统。我必须遵循我坚持的情况：

1) 用户尝试访问 Web 资源，但未登录，因此被定向到 ADFS SSO 服务。

2) 用户成功通过 ADFS 进行身份验证。

3) ADFS 将 SAML 响应传回 Web 资源。

4) Web 资源本身有一个用户数据库，但这里用户不存在。

5）因此，网络资源必须静默创建用户帐户。为此，我需要电子邮件地址。

那么，是否可以将 ADFS 配置为在成功的 SAML 响应消息中返回用户的电子邮件地址？

我在这个站点上阅读了一篇关于ADAM、AD FS 和 SSO的文章

不幸的是，我不精通 ADAM 和 AD FS，所以我想知道如果我遵循本文的“使用 AD FS 的 Web SSO”部分，那么我可以从 ASP.NET MVC 3 应用程序对 ADAM 使用 SSO 身份验证吗？

我有一项服务设置为从 ADFS 检索安全令牌并使用该令牌与其他服务进行通信。当我从本地开发机器联系我的 ADFS windowsmixed 端点时，我能够成功地检索到令牌。但是，当我在运行 ADFS 的同一台机器上安装我的服务时，我收到以下错误：

我可以使用以下仅获取令牌的代码来重现该错误。当我在我的开发机器上访问远程服务器时，此代码再次有效，但直接在服务器上时它会失败。我在两者上都使用相同的用户凭据。我使用应用程序池凭据和使用以下代码的简单测试客户端在 IIS Web 服务中遇到相同的错误。

我在 Windows 事件日志中为 ADFS 2.0 调试打开了跟踪。当直接在服务器上点击那个 windowsmixed 端点时，我没有收到任何条目，这让我相信它实际上并没有到达端点。

我确实在安全日志中收到了很多与我正在运行的服务相关的审核失败：请求了对象的句柄。

我能够使用存储的凭据访问 usernamemixed 端点并接收正确的令牌，因此它似乎与验证用户甚至能够与 ADFS 端点通信有关。

如果我在上面的代码中设置了特定的凭据，它就可以连接。这再次让我相信在同一台机器上它没有为我的 Windows 用户传递正确的凭据。

感谢您提供的任何帮助。

布赖恩

我正在研究使用 SAML 和 ADFS 设置单点登录所涉及的内容。一个问题回来了，我无法回答，似乎在任何地方都找不到。

是否可以通过 ADFS 执行通常的用户配置文件操作？例如 ：

• 我可以通过 ADFS 注册新用户吗？
• 我可以通过 ADFS 提供忘记密码/重置密码功能吗？

我开始感到困惑，并有一种我在叫错树的感觉！

我有一个由部署在 azure 中的 ADFS 保护的 wcf 服务。我可以在我的控制台应用程序中使用该服务。但是当我不确定如何在 windows phone 7 应用程序中使用该服务时。在我的控制台应用程序中，我正在检索一个安全令牌并使用 CreateChannelWithIssuedToken 方法将该令牌传递给 channelfactory 对象。但是在 windows phone 应用程序中没有这种方法可以将令牌传递给 wcf 服务。谁能指导我解决这个问题？提前致谢。

在 Windows 7 上的 VS10 上构建我的项目时出现此错误：

命名空间“System.Web.Security”中不存在类型或命名空间名称“SingleSignOn”（您是否缺少程序集引用？）

刚开始学习 ADFS，我正在尝试让我的 Web 应用程序支持 ADFS 登录。

好像我错过了 SingleSignOn.dll。是因为我在 Windows 7 而不是 Web 服务器上执行此操作吗？

现在差不多迷路了。

想象以下场景。

用户访问站点 A (ASP.NET)，使用 ADFS 进行身份验证并获得一组声明。在某些时候，他们需要注册一项附加服务，以便将他们重定向到配置站点 B (ASP.NET)（也使用 ADFS - 所以 SSO），在那里他们通过输入相关详细信息进行注册并被重定向回 A。

但是，配置过程的一部分向存储库（通常是 AD）添加了属性，我们希望这些属性构成其声明集的一部分。

要做到这一点，他们有重新认证？通过强制联合注销是最好的方法吗？这将由站点 A 或站点 B 完成吗？

如果他们是使用 WIA 的内部用户，他们将在“幕后”登录，整个过程将是透明的。

如果他们是使用 FBA 的外部用户怎么办？他们不需要重新登录吗？鉴于这不是一个非常令人满意的用户体验，有没有办法解决这个问题？

有一些参考资料谈到将签名令牌作为 cookie 写入客户端浏览器，然后 STS 稍后从 cookie 验证 SSO 令牌。您将如何使用 ADFS 执行此操作？

所以，ADFS 对我来说是新的。我们有一个客户将使用它。我一直在做研究，微软提供的文档似乎过于复杂。有没有人可以遵循的简单教程来正确集成 ADFS？我希望它像 OAuth 一样简单，但似乎并非如此。

我希望这里有人能指出我正确的方向，因为我有点迷路了。

谢谢。