問題タブ [adfs]

誰かが一般的に質問に答えることができると思いましたが、誰かが具体的に知りたい場合は、次を使用しようとしています:

System.Web.Security.SingleSignOn を使用します。System.Web.Security.SingleSignOn.Authorization を使用します。

私は自分の頭脳をグーグルで検索しましたが、これが私が見つけた最も近い答えです:

「これについてはオフラインで話し合いましたが、ADFS アセンブリは GAC されているようですが、ファイル システムにインストールされていないか、VS.NET に登録されていないため、.NET タブに表示されません。MS は強化する必要があると思います。このシナリオのインストーラです。それまでの間、おそらく自分でこれを行う必要があります。」

いったい何、自分で何をするの？

Active Directory フェデレーション サービス (ADFS) と承認マネージャー (AzMan) の統合をカバーする優れたスクリーンキャストまたはドキュメントを知っている人はいますか?

既存の Web アプリケーションがあり、カスタム認証ソリューションから Active Directory フェデレーション サービスに移行して、パートナー組織がユーザーの承認を側で管理できるようにしたいと考えています。

現在、このサイトではカスタム データベース テーブルを使用してユーザーを管理し、カスタム ロジックを使用して認証と承認を管理しています。

ユーザーを認証し、ADFS を介してアクセスするパートナー組織に加えて、Active Directory ドメインにいる内部ユーザーがいます。これらのユーザーは、ADFS を介して認証することもできます。

私たちの質問は、外部ユーザーに関するものです。このサイトは個人でも登録できます。これらの個人には、彼らが所属する組織がないため、ADFS を使用して認証を処理することはできません。

これらの個人をサポートする必要があるため、ユーザー アカウントを管理する必要があります。

ADFS は、Active Directory または Active Directory Application Mode アカウント ストアにのみ接続できます。

ADFS はこれらのアカウント ストアのみをサポートしているため、Active Directory ドメインに外部ユーザー用のアカウントを作成することが論理的な解決策のようです。

これは、登録ページを更新して、カスタム データベースに新しいレコードを作成するのではなく、アクティブな Active Directory に新しいユーザー アカウントを作成することを意味します。

それで、これは悪い習慣ですか？組織外のユーザーに AD を使用する必要がありますか? ADFS を使用している場合、他のユーザーはこの種の状況をどのように処理しますか?

ADAM と DSML サービスを使用してテストしています。2 台の ADAM サーバーがあり、1 台はもう 1 台のレプリカであり、負荷分散されています。ADAM ディレクトリでの重複オブジェクトの作成をどのように保護できますか?

上記のトピックに関する説明を探しています。

• 独自の AD を持つドメインが多数あります
• ASP.NET アプリケーションが実行されているドメインは、ADFS サーバー (ルート ドメイン) をホストします。
• 各ドメインとルート ドメインの間に信頼関係が確立されている

だったら問題ないのでは？フォーム認証を使用していません。代わりに、ADFS を使用していることを web.config で明示的に指定する必要があります。

ADAM はこれらすべてにどのように適合しますか? 各ドメインには独自の AD があるため、必要だとは思いません。ADAM は AD とは別のユーザー ストアですか?

これは正しいですか、それとも私はオフですか？

ありがとう

ASP.NET アプリが Windows 統合認証を使用して ADFS 用にセットアップされている場合、これが IE で機能することはわかっていますが、Firefox でも機能しますか?

問題があることを示すものを Web でいくつか見ましたが、各クライアント ブラウザーに回避策を講じる必要があります - http://codebetter.com/blogs/eric.wise/archive/2006/11/16/ Note-to-self_3A00_-Firefox-Windows-Authentication.aspx

いくつかの Microsoft Connect ブログから、Geneva Server が ID プロバイダーとして AD/LDAP と連携していると聞いたことがあります。SQL サーバーで独自のカスタム属性ストアを構成する必要がある場合、これらのユーザーが AD グループに属していない場合は可能です。ブログから私が見たのは、Genevea サーバーが AD と密接に結合されていることです。カスタムを使用する必要がある場合次に、ジュネーブ フレームワークの基本クラスをオーバーライドして、カスタム STS を作成する必要があります。私の質問は、Geneva Server Beta 2 を使用して SQL ストア (AD グループに属していないユーザー) からユーザーを認証することは可能ですか?

ホストされたWebアプリケーションがあり、フォーム認証を使用しています。このWebアプリケーションには、さまざまなパートナー組織に属するユーザーがアクセスします。現在、パートナー組織に所属するユーザーは、提供された資格情報を使用してアプリケーションにアクセスしています。

現在、一部のパートナー組織は、ユーザーがActiveDirectoryの資格情報を使用してアプリケーションにアクセスすることを望んでいます。これらのパートナー組織にADFSを使用することを計画しているため、ユーザーはネットワーク内のActive Directoryを使用して認証され、クレームはADFSによって設定された認証トークンCookieを介してWebアプリに送信されます。クレームから、ユーザーをWebアプリケーションの内部userIdにマップします。

私の質問は、WebアプリケーションをADFSを有効にした場合、1）他のパートナー組織のユーザー（ADFSを使用したくない）が既存のログインページ（フォーム認証）を使用してWebアプリケーションにログインできるようにすることは可能ですか？ ）？2）ADFS対応のWebアプリのすべてのページにhttps経由でアクセスする必要がありますか？

任意の解決策やポインタをいただければ幸いです。

ありがとう-arul

シングル サインオンで多数の Windows ベースの Web サービスを結び付ける方法を検討しています。Microsoft の Windows Identity Framework と ADFS 2.0 は、この仕事に最適なツールですが、すべての Web サービスが .NET で記述されているわけではありません。1 つは従来の ASP で、もう 1 つは PHP です。これらのプラットフォームで動作する既存のライブラリはありますか?それともゼロから構築する必要がありますか?

Asp.Net 3.5 での ADFS の操作とその関連ダウンロードに関する有益なリンクを教えてください。