問題タブ [adfs2.0]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
wif - ADFS 2.0 エラー ID4175: セキュリティ トークンの発行者が IssuerNameRegistry によって認識されませんでした
エラー:
ID4175: セキュリティ トークンの発行者は、IssuerNameRegistry によって認識されませんでした。この発行者からセキュリティ トークンを受け入れるには、この発行者の有効な名前を返すように IssuerNameRegistry を構成します。
状況: 単一の IIS サーバー (私の QA 環境) で実行されている 3 つまたは 4 つの asp.net アプリがあり、今朝このエラーが返され始めました。匿名のサイトから始めて、セキュリティで保護されたセクションへのリンクをクリックし、フェデレーション サービス プロキシにリダイレクトされ、認証し、セキュリティで保護されたページにリダイレクトされますが、このエラーが表示されます。
このリンクと他の多くのリンクは、web.config の拇印が間違っていることを示していますが、(TFS の履歴を介して) web.config ファイルの拇印が変更されていないことを証明できます。
fedutil を再実行してみましたが、同じメッセージが表示されます (ただし、別の拇印が表示されます)。何か案は?
facebook - Facebook Connect と Graph API の STS ラッパーを作成した人はいますか?
Facebook 接続 API をラップする安全なトークン サービスを作成し、それを共有したいと思っている人はいますか?
Azure ACS を使用する代わりにこれを検討しています。
adfs - IP-STSのClaimTypesRequestedとRPのClaimTypeRequiredの関係/目的は何ですか
ClaimTypesRequestedセクションは、ADFSの[Claim Descriptions]タブから作成されているようで、web.configとmetadaは、FedUtilを介して「バインド」されたときにこれを継承します。
- WIFは2つを何らかの方法で比較しますか?
- RPリストはサブセットである必要がありますか?
- 「同期していない」ときにエラーがスローされますか?
たとえば、どちらのリストにも表示されていないがRPに到達しているように見えるADFSクレームルールでカスタムクレームを定義できますか?
asp.net - 一定期間後に ADFS が MVC 要求を再認証する
クレーム対応の ASP.NET MVC アプリケーションに取り組んでいます。認証は、Active Directory フェデレーション サービスを介して行われます。ADFS サーバーのタイムアウトは 8 時間です。アプリケーション レベルでは、セッション タイムアウトとアプリ プールのアイドル時間を 3 時間に引き上げました。ただし、ユーザーが 30 分間非アクティブだった場合でも、ADFS サーバーはユーザーを再認証します。なぜそれが起こっているのですか?設定していないものを設定する必要があります。これに関するヘルプは非常に高く評価されます。
ありがとう!
ビニタ
saml - Shibboleth SP が誤ったユーザー ID をアプリケーションに渡す
Shibboleth SP (最新バージョン - 2.4.2) を使用して Shibbolized した Rails アプリがあります。Apache 2.2 で使用しています。私の IdP は MS AD FS 2.0 サーバーです。
ユーザーはサイトにアクセスし、AD FS にリダイレクトされ、認証されてから戻ってきて、サイトにログインします。
問題は、いったんそれを行うと、別のユーザーとしてタイムリーにログインすることがほとんど不可能になることです。すべての Cookie をクリアして (Mac の Safari と Chrome で試しています)、ブラウザを再起動できますが、最初に Alice として認証されてから Carol としてログインしようとすると、アプリケーションにログインしたままになります。アリスとして。
Cookie をクリアした後に shibd が受信した SAML 応答には、正しい ID が含まれています。
しかし、Shibboleth SP が環境変数をアプリに渡すと、代わりに間違った資格情報が送信されます。
すべての Cookie を破棄しても、Shib-Session-ID は同じになります。どういうわけか、SAML 応答からのアカウント情報で新しいセッションを作成するのではなく、2 つのやり取りを関連付けて既存のセッションを再確立しているようです。
見つけることができるすべてのキャッシュ タイムアウト値を 60 秒に設定しましたが、ブラウザーを閉じた状態で 2 ~ 3 分待つだけでは、新しいセッションを作成するのに十分ではありません。
...
apache と shibd を再起動すると、ブラウザーを閉じて長時間 (10 ~ 15 分?) 放置しても機能します。
私は何が欠けていますか?他にどのような手段を追求する必要がありますか?
adfs2.0 - ADFSサーバーとADFSサーバーのFQDNは同じである必要がありますか?
auth.somedomain.noという名前のADFS2.0プロキシサーバーが2つと、adfs.somedomain.noという名前のADFS2.0サーバーが2つあります。
ただし、https://auth.somedomain.no/FederationMetadata/2007-06/FederationMetadata.xmlは、 https://adfs.somedomain.no/FederationMetadata/2007-06/FederationMetadata.xmlを公開しません。
ADFSとADFSプロキシの両方の正式な名前は同じである必要がありますか?
single-sign-on - 内部ADユーザーおよび外部ユーザーとのSSOへの最善のアプローチは何ですか?
ADを介した内部使用のためにSSOをサポートするWebアプリケーション(asp.net mvc 3)があります。また、すべてのWebアプリケーションにSSOを使用したい外部ユーザーの大規模なコミュニティもあります。例:external_user1は、すべて同じログインでwebappA、webappB、およびwebappCにアクセスします。また、domain\user1は3つのWebアプリすべてにアクセスできます。WIFとADFS2.0を使用する予定です。
すべての外部ユーザーにADアカウントを設定したくないので、過去にADFS1.xとADAMを使用したソリューションを試したことがあるかもしれません。ただし、Windows Server 2008 R2を使用しており、ADFS2.0はADLDS(ADAMの後継)を使用してユーザーを認証することはできません。
SSOアプローチ(マイクロソフト製品を使用)とは何ですか?
firefox - 「拡張保護」がオフになっていない非IEブラウザのADFSへのNTLM認証?
Windowsで実行されているGoogleChromeまたはFirefox3.5以降からADFS2.0に対してNTLM認証を使用すると、サインインダイアログが繰り返され、最後にサインインが失敗し、「監査の失敗」イベントが「ステータス:0xc000035b」になります。
これは、IISの「/ adfs/ls」Webアプリケーションの「拡張保護」をオフにすることで「解決」できます。これはいくつかの場所で文書化されています。詳細については、別のStackOverflowの質問に対する私の回答を参照してください。
私の質問は、「拡張保護」をオフにせずに、AD FSへのNTLM認証をこれらのブラウザで機能させるにはどうすればよいですか?つまり、Internet Explorerでは、これは「拡張保護」をオンにすると正常に機能しますが、ChromeまたはFirefoxを使用しないのはなぜですか?それとも、これはChrome / Firefoxの実装のバグ/制限ですか?たとえば、Windows NTLMライブラリの使用にありますか?
更新:ブラウザの設定を変更するように強制することなく、これを実行したいと言っておく必要があります。
adfs2.0 - クレームが有効でない ASP.NET アプリケーションと ADFS v2.0
この記事では、FedUtil を介して ADFS とフェデレートした場合に、クレームが有効でない ASP.NET アプリケーションで何が起こるかについて考えさせられました。
この記事では、これを機能させるための鍵は、Claims to Windows Token Service (C2WTS) を有効にすることであると示唆しています。このサービスは、ADFS トークンを効果的に Windows トークンに変換します。
そこで、Windows 認証を使用して簡単な ASP.NET アプリケーションを作成し、FedUtil を実行したところ、ADFS Windows 認証または StarterSTS のいずれかを使用して ADFS で認証できるようになりました。問題は、C2WTS が実行されていないため、動作しないと思っていたのに動作することです。
明らかに、アプリケーション内のクレーム オブジェクトにはアクセスできませんが、それ以外は問題なく動作します。
ただし、これは問題を引き起こします。FederatedPassiveSignOut などにアクセスできないため、ADFS からどのようにサインアウトしますか?
トークンはアプリケーションに送信されていますか?
例外をスローせずに無視しているだけですか?
C2WTS は全体像の一部である必要がありますか?
私は何かを逃しましたか?
adfs2.0 - 従来の ASP と WIF
Classic ASP (私の理解では) は Microsoft によって実際に「推奨」されているわけではなく (たとえば、VS には従来の ASP プロジェクトはありません)、基本的には HTML と何らかのスクリプトを含む ASP ページのコレクションです。そのような .config ファイルはありません。
では、従来の ASP サイトを WIF に統合することはできますか?
STS を使用してアプリケーションに認証を「強制」するにはどうすればよいでしょうか? (FedUtil が変更する .config ファイルはありません)。
従来の従来の ASP サイトが多数あり、STS を使用したフェデレーション認証に移行したいと考えている大規模な顧客の問題にどのようにアプローチしますか?
PS インターネット上に参考文献があります。これを使用して静的ファイルと cgi exe を保護したので、.asp ファイルも保護されると思います。」
STS がこのソリューションのどこに入るのかについて、私はまだ混乱していますか? IIS 7 はどのようにして STS の場所を認識しますか?