問題タブ [adfs2.0]

FormsSignIn (ADFS でのフォーム認証) を使用して STS (ADFS 2.0) に対して認証するように構成された SharePoint 2007 ポータルがあります。匿名アクセスを許可するいくつかのページを SharePoint ポータルに配置する方法はありますか? SharePoint Central Admin で [匿名アクセスを有効にする] をオンにして、web.config に場所セクションを追加しようとしましたが、どちらも ADFS ログイン ページにリダイレクトされます。

ADFS ログイン サイトのブランドを変更したので、一般的ではなくなり、SharePoint ログイン ページのようになりました。これらの匿名アクセス ページを SharePoint から ADFS サイトに移動する必要がありますか?

ADFS は初めてで、ログイン プロセスをカスタマイズするためのベスト プラクティスが何であるかがわかりません。

ありがとう、

ADFS 2.0 環境を学習しようとしているときに、Visual Studio 2010 を使用して RP となる空の ASP.NET クレーム対応アプリケーションを作成しました。

ADFS 2.0 を使用して、次のことを行いました。

1. 「証明書利用者信頼の追加...」ウィザードを使用して SAML 2.0 証明書利用者を作成しました
2. 「クレーム プロバイダー信頼の追加...」ウィザードを使用して、SAML 2.0 クレーム プロバイダーを作成しました。

今、私は次の手順を実行しました：

• ブラウザーがhttp://localhost/adfs/IdpInitiatedSignOn.aspxを指すようにしました
• 手順 1 で定義した RP をコンボ ボックスからサインインするサイトとして選択しました。
• 次のページで、手順 2 で定義した IDP をコンボ ボックスから認証サイトとして選択します。
• [サインインを続ける] をクリックしました

ADFS 2.0 は、IDP 用に構成された URL にリダイレクトし、SAMLRequest が要求に添付されます。（これは素晴らしい）

ただし、IDP に到着した SAML リクエストには ACS URL が含まれていません (より技術的には、「AssertionConsumerServiceURL」の XML ノードはありません)。

ACS URL は SAML リクエストの必須属性ではありませんか?

ありがとう ！ヨアシュ

現在、アプリのコピーをローカル IIS に debug.wifclientapp.com として展開しており、認証のために ADFS サーバーに移動しますが、認証が成功した後にリダイレクトすると、テスト インスタンスである www.wifclientapp.com に移動します。リモートサーバー。

最初にテスト インスタンスをセットアップします。元のサイトにリダイレクトするにはどうすればよいですか?

これらのシステムに関する私の知識はそれほど多くないため、ばかげた質問をしている場合はご容赦ください。

私は次のことを達成したいと考えています。

Idp (AD FS 2.0) -> SAML 2.0 -> Sp (simpleSAMLphp)

*単純にユーザーを認証する以上の凝ったものは必要ありません。

ID プロバイダーとして AD FS 2.0 (ドメイン A) を使用して Windows Server 2008 を構成し、別のドメイン (simpleSAMLphp (ドメイン B) を使用して作成) のサービス プロバイダーからの認証要求を処理させようとしました。

AD FS 2.0 管理アプリケーションを使用すると、SP から未加工のメタ XML を追加して、idp を構成できます。そして私のSPには同じことをする機能があります。したがって、idp（AD FS 2.0）を正しくセットアップすると、SPにidpのメタデータを解釈させるだけで済みます。

現在、私は解決策に近づいていると感じています（しかし、おそらく間違っているでしょう！）。現在、Idp がログイン資格情報を要求する時点まですべてが見つかっているようで、資格情報を入力すると、セッションが開始されたように見えますが、「承認されていません - HTTP エラー 401 が表示されます。要求されたリソースには要求されたリソースが必要です」ユーザ認証。' 正しいログイン資格情報を入力した後のメッセージ。

誰かがこれを修正する方法を説明してもらえますか? または、単純にユーザー名とパスワードを認証するために SAML 2.0 を使用して AD FS 2.0 を認証するように段階的にセットアップする方が速い場合。

ヒントを事前にありがとう！

VS のクレーム対応テンプレートを使用して、AD FS を使用して AD に対してユーザーを認証しています。一部のユーザーは Active Directory に参加しないため、これらのユーザーの SQL Server を検索して通常どおり続行するように ADFS を構成できるかどうかを知りたいです。

ADFS2.0 はカスタム認証ストアを提供しますか?

も同様の質問ですが、できると答えた人が 1 人で、できないと答えた人が 1 人だけいます。

クレーム対応 Web アプリを使用しています。特定のクレームが存在する場合にページへのアクセスを許可するために、カスタム属性を使用して Web ページをロックダウンしたいと考えています。

私は次のことができます

クレームがnullの場合、それらをページからリダイレクトします..

しかし、クラスに注釈を付けることでこれを行うにはどうすればよいでしょうか。

私は ClaimsPrincipalPermission を見ていました

しかし、私の人生では、リソースと操作に何を入れるかわかりません。adfs によって返されたクレームをclaimsprincipalpermission. これを行うには、多くのカスタム クラスを作成する必要がありますか?

ありがとう、

MVC 2 アプリケーションがあり (基本的な MVC 2 アプリでこれを試しましたが、余分なものはありませんが、同じ問題がありました)、ユーザーの認証に adfs 2 を使用しています。

ID3206 : SignInResponse メッセージは、現在の Web アプリケーション内でのみリダイレクトできます: '/[app]' は許可されていません。説明: 現在の Web 要求の実行中に未処理の例外が発生しました。エラーの詳細とコード内のどこでエラーが発生したかについては、スタック トレースを確認してください。例外の詳細: Microsoft.IdentityModel.Protocols.FederationException: ID3206: SignInResponse メッセージは、現在の Web アプリケーション内でのみリダイレクトできます: '/[app]' は許可されていません。

私はこれに関するほとんどのブログを読み、そのうちの 1 つに投稿しました。

1. realm と AudienceUris の末尾にスラッシュがあります。
2. 彼が提案したものを Application_BeginRequest に追加しました。次に、証明書がある [開発ドメイン] にコードをコピーしました。その後、無限ループに陥ります。
3. また、ジュネーブ サーバーで自分の証明書利用者を確認しました。識別子とエンドポイント (POST) はどちらも https://[開発ドメイン]/[アプリ]/ で、末尾にスラッシュが付いています。

MVC アプリケーションであるという事実に問題があると思います。多数の Claims Aware Web サイトを作成し、default.aspx ページでクレームなどを取得しました。私の考えでは、MVC アプリに関連するルーティングが何らかの形で間違ってポストバックしていると思いますか?

しばらく静かにこれを見ているので、どんな助けも本当に感謝しています..

J

Cookie に保存したい大きな文字列がありますが、Cookie ごとの最大文字列長と最大 Cookie 数のベスト プラクティスがわかりません。

文字列を分割し、後で一連の Cookie を結合するには、どのロジックを使用すればよいですか?

(Microsoft ADFS とおそらく Siteminder はこの手法を行っているので、その実装に興味があります)

現在、adfs 2.0サーバーに2つの証明書利用者（RP）が構成されています。また、2つのクレームプロバイダーの信頼があります。ユーザーがクレームプロバイダー1に属している場合は、最初のRPへのアクセスを制限したいだけです。

ユーザーの発行者を検査してからアクセスを許可するかどうかを指定できるクレームルールはありますか？

また、この動作がSSOインフラストラクチャでも受け入れられるかどうか疑問に思っています。これをサポートするために、ADFS 2.0の2つのインスタンスを展開する必要があります（一方はクレームプロバイダー1を信頼し、もう一方は信頼しません）。

アイデアやデザインの入力をありがとう。

ADFS2.0イベントログから次のような奇妙なエラーが発生します。

「証明書利用者'https：// my-relying-party'にWS-Federationパッシブエンドポイントアドレスがないため、フェデレーションサービスはトークン発行要求を実行できませんでした。

依拠当事者：https：// my-relying-party

このリクエストは失敗しました。

ユーザーアクション

AD FS 2.0管理スナップインを使用して、この証明書利用者にWS-Federationパッシブエンドポイントを構成します。」

これは、SAML応答がADFS 2.0によって正常に検証された後に発生しますが、証明書利用者アプリケーションのトークンの発行に失敗したようです。

ADFS2.0でIDPとSPの両方をSAML2.0として構成したので、WS-Federationエンドポイントが必要な理由がわかりません。

どんな助けでもありがたいです。