問題タブ [adfs2.0]

現在、WIF と AD FS 2.0 を使用して、クレーム ベースの ID で Web SSO を実装しようとしています。現在、認証を AD FS 2.0 サーバーに委任し、発行されたセキュリティ トークンを信頼する既存の ASP.Net アプリケーションがあります。それはうまくいきます。

ただし、組織には、SAML 2 プロトコルをサポートする既存の JA-SIG 中央認証サービス (CAS) サーバーがあります。AD FS 2.0 を既存の CAS サービスに置き換えたいと考えています。

私の理解では、WIF は WS-Federation を使用します。これは、SAML トークンを囲むコンテナーのようなものです。プレーンな SAML 2 プロトコルとそのバインディング (リダイレクトまたは POST) を使用することは可能ですか? それが不可能な場合 (私の推測では)、フェデレート ID を使用し、AD FS 2.0 と CAS をフェデレートするという 2 つ目の方法があります。それは可能ですか？それに関する情報はウェブ上にはほとんどありません。

ありがとう ：-）

ADFS 2.0 は、このウィキペディアの記事で言及されているように、SAML 1.1 プロトコルと Web SSO プロファイルをサポートしていますか? それとも SAML 1.1 トークンのみがサポートされていますか?

ADFSを使用してユーザーを認証し、以下のステートメントを使用してユーザーエイリアスを取得することに成功しました。しばらくしてから、電子メール、名前、役割、ユーザー名など、認証されたユーザーの他のクレームを取得する方法を探しています。

これに関する助けをいただければ幸いです。

文字列エイリアス=（（MicrosoftAdfsProxyRP.MicrosoftPrincipal）HttpContext.Current.User）.Alias;

Response.Write（エイリアス）;

皆さん、ADFS v2.0 (Geneva) の Release Candidate バージョンを使用して保護しようとしている ASP.NET MVC アプリケーションを持っています。アプリケーションを証明書利用者信頼として構成し、Fedutil.exe を使用してアプリケーションの Web.config を変更し、アプリケーションが Geneva サーバーに関する情報を持ち、Geneva サーバーをクレーム ソースとして使用するようにしました。

ただし、MVC アプリにアクセスしようとすると、ジュネーブにリダイレクトされ、(自己署名証明書について警告した後) 再び MVC アプリにリダイレクトされます。両方の自己署名証明書の警告を受け入れた後、2 つのサーバーは、最終的にジュネーブが次のメッセージを吐き出すまで、無限のリダイレクト ループで互いにピンポンを再生します。

同じクライアント ブラウザ セッションが、最後の '1' 秒間に '6' リクエストを作成しました。不適切な構成の可能性があります。詳細については、管理者にお問い合わせください。

上記のメッセージを含むイベントを除いて、MVC 側または Geneva のイベント ログにエラーはありません。この問題を試してデバッグし、診断し、できれば修正する方法について誰かが私に情報を提供してくれたら、私は永遠に感謝します.

繰り返しになりますが、ジュネーブ ボックスは ADFS v2.0 リリース候補であり、ASP.NET MVC サイトは、WIF SDK の FedUtil.exe を使用して Web.config を変更した Windows Identity Foundation SDK の最新 ('09 年後半) バージョンを使用して構築されました。 .

だから、あなたは皆、これからキックを得るでしょう.私はFirefoxからこの同じアプリケーションを試しました.それはうまくいきます. ドメイン資格情報の入力を求めるプロンプトが表示され、ADFS v2 サーバーが 1 回リダイレクトしてから、アプリケーションのホームページに行き着き、アカウント名とパーソナライズされた挨拶が表示されます。では、本当の問題は次のとおりです。IE8 が無限のリダイレクト ループに陥り、Firefox が ISN'T ではないのはなぜですか?? さらにテストを重ねた結果、Safari と Firefox の両方で、ADFS v2 (RC) または WIF (RTW) からの既定のパイプラインを変更することなく、このシナリオを箱から出してすぐに動作させることができました。IE8 は、この認証シナリオを処理する際に問題が発生する唯一のブラウザーです。自己署名証明書のインストールと信頼を含め、すべてを試しました。

Active Directory（Microsoft ADFSプロキシ）を介してASP.Netアプリケーションを認証しています。ここで、この認証をWCFサービスに移動して、認証がそこで行われ、後でこのサービスが柔軟になるようにします。これを進める方法と、これに必要なバインディングタイプを教えてください

ADFS2.0がユーザーをカスタムストアで認証する方法を提供するかどうかを知りたいですか？バージョン1.0では、Forms / Windows Integrated / Cardspaceを使用して、Windowsドメインのユーザーのみを認証できました。ASP.NEt Webサイトがあります。これを使用して、SQLのカスタムストアに対してユーザーを認証し、次にADFS2.0を使用して、ユーザーに発行されたクレームを処理します...

SAML 2.0 を使用して、ADFS 2.0 を SP として、CA SiteMinder を IdP として構成したいと考えています。ADFS 2.0 には、WIF を使用してデプロイされたテスト アプリケーションがあります。

両方を正しく構成しました。ただし、フェデレーションのテスト中に、ID プロバイダーを正しく選択するための 2 つのオプションが提供されます。ただし、資格情報を入力すると、内部サーバー エラーがメッセージとして表示されます。

どんな助けでも大歓迎です。

ありがとう、プラビン

Microsoft ADFSv2 は WS-Trust と SAML パッシブをサポートしているようですが、それが構築されている WIF スタックは SAML をサポートしていません。

WS-Trust と SAML-P の違いは何ですか? それらは同じセキュリティ脆弱性を共有していますか? もしそうなら、それらは何ですか?

注: ここには似ていますが別の質問があります。

SAML と OAuth

Stack Overflow の SSO はどのように機能しますか? ...彼らが何をしていても、ネットワーク内のすべてのサイトで機能するようです。

ADFS の下でhttp://perfmon.comとhttp://eventvwr.comの間で同様の登録スキームを取得できるかどうかを確認できるように、Stack が何をしているかを知りたいです。SAML と OpenID が別物であることは理解していますが、透過的な登録の概念は同じはずです。

Q: Stackoverflow は、serverfault などの他のサイトとどのように「連携」しますか?

STS (ADFS v2.0) からトークンを取得したクライアントのみが呼び出すことができるように、保護したい .xamlx ワークフロー サービスがあります。通常、「Web サイト」プロジェクト テンプレートを使用していて、.SVC サービスを追加している場合、これは非常に簡単に実行できます。「STS 参照の追加」ウィザードは、セキュリティで保護する必要があるサービスを見つけて、個別に保護します。依存者としてのあなた。

問題は、ワークフロー サービス アプリケーションに「STS 参照の追加」を実行すると、個々のサービスを保護するときに必要なアクティブなフェデレーションではなく、「パッシブ リダイレクト」セキュリティだけが得られることです。

誰でもこれを行う方法を知っていますか?