問題タブ [adfs2.0]

パッシブフェデレーションWebサイトから呼び出されているバックエンドWCFサービスを保護するためにADFS2を使用する際に問題が発生します。ウェブサイトでパッシブフェデレーションを使用していますが、バックエンドサービスで問題が発生しています。

パズルのピース。

1. パッシブフェデレーションWebサイトから提供されているSilverlightクライアント。
2. Silverlightは、パッシブフェデレーションWebサイトでホストされているWCFサービス（App Service）を呼び出します。
3. 構成でSaveBootstrapTokenをtrueに設定しています。
4. App Serviceから、ActAsシナリオでBootstrapTokenを使用してバックエンドWCFサービスを呼び出したいと思います。
5. フェデレーションWebサイトとバックエンドWCFサービスは、ADFS2で別々のRPとしてセットアップされ、トークン暗号化がオンになっています。どちらも委任できます。

バックエンドサービスの構成：

ビヘイビア拡張を使用してパイプラインにWIFを組み込みました。

クライアント構成

Add Service Referenceツールを使用してサービスを追加すると、クライアントで次の構成が作成されます。

サービスクライアントコードは次のとおりです。

これは私が得る例外です：

構成やコードに何かが欠けていると確信しています。誰かが私を助けてくれますか？

さまざまな種類のプロトコル（WS-Federation、OAuthなど）を処理する独自のSTSを構築しています。ADFS2によってSTSに投稿されたRSTRトークンの処理でスタックしました。

クレームを正常に逆シリアル化したコードですが、それを機能させるにはmicrosoft.identityModel構成セクションの一部を追加する必要があり、TrustedPeopleストアにADFS2署名証明書を追加する必要があります。

私は物事を指定する独自の構成セクションを持っているので、microsoft.identityModelの使用は冗長です。

コード：

避けたい必要な設定：

顧客のASP.NETボタンを使用して、認証にADFSを使用するWebアプリからサインアウトしています。アプリを正しくサインアウトさせるためにいくつかのオプションを試しましたが、何も機能していないようです。

通常、フェデレーションサーバーのサインアウトページに移動します。このページには、適切にサインアウトされたことが示されますが、戻った場合でもWebアプリにアクセスできます。

試した：https：// {DNS_name_of_RP_STS} /adfs/ls/?wa=wsignout1.0

https：// {DNS_name_of_RP_STS} / adfs / ls /？wa = wsignout1.0＆wreply={post-sign-out_landing_URL}など

誰かがこれを正しく動作させることができましたか？

御時間ありがとうございます

Active Directory と ADFS 2.0 を備えたテスト Server 2008 ボックスをセットアップしました。WIF を使用して ID をフェデレートする ASP.NET アプリがあります。ADFS は、ID 情報に Active Directory を使用するように構成されています。WIF を使用して、ADFS エンドポイントを使用するようにクライアント アプリを構成しました。

ブラウザーからユーザーとして ASP.NET アプリを読み込もうとすると、ADFS エンドポイントにリダイレクトされ、資格情報の入力を求められます。複数のユーザー アカウントでログインを試みましたが、パスワードをリセットしても認証情報が正しくないようで、401 Unauthorized が返されました。同じ資格情報で他のシステムに正常にログインできます。

詳細モードでデバッグ トレースを有効にし、詳細モードで監査を有効にしましたが、問題の特定に役立つエラーや情報が見つかりません。

問題を絞り込むための詳細情報を入手するにはどうすればよいですか?

アップデート：

この問題は私のテスト環境が原因であることがわかりました。私の開発マシンは、企業ドメイン (acme.com) にあります。テスト ドメイン コントローラー (notacme.com) と Web サーバー用に 2 つの 2008R2 VM を作成しました。

acme.com ドメインのコンピューターから Web サイトにアクセスしようとすると、上記のエラーが発生します。notacme.com ドメインのコンピューターから Web サイトにアクセスしようとすると、機能します。

acme.com ドメインのコンピューターから Web サイトにアクセスするにはどうすればよいですか?

Active Directory フェデレーション サービス 2.0 をすべてセットアップし、すぐに使用できる状態にしていますが、証明書利用者アプリケーションの有効化について読んだほとんどすべてのシナリオから外れているシナリオがあります。十分に文書化されている 2 つのシナリオには、A) Web サイトのパッシブ認証、または B) Web サービスを呼び出すために認証されたシック クライアントの使用が含まれます。

私のシナリオは次のとおりです。データ アクセスのために Net.TCP 経由で WCF サービスを呼び出す Web アプリケーションがあります。ADFS 2.0 を使用して、各 WCF 呼び出しをセキュリティで保護されたトークンで保護する必要があります。

また、Web サイトから ADFS で認証するパッシブな方法を使用することもできません (私の管理外のセキュリティ制限)。

私の質問は、Web サイト経由で ADFS からセキュリティで保護されたトークンを手動で要求し、その同じトークンを使用して WFC サービス メソッドを呼び出すことは可能ですか?

OK、私はクレーム対応アプリケーションの全世界にまったく慣れていません。Azure ACS を使用して非常に迅速に起動して実行することができましたが、ID プロバイダーとして ADFS 2.0 を使用しようとすると、少し話が異なります (実際にはフェデレーション プロバイダーとして使用したいのですが、当面はID プロバイダーとして使用してサンプルを実行しようとしているだけです)。

ここのガイドを見て、 AD FS 2.0 フェデレーションに従って WIF アプリケーションのステップ バイ ステップ ガイドガイドを参照しようとしました。ADFS 2.0 のセットアップと、送信されたクレームを表示するためだけに使用できる小さなクレーム対応サンプル アプリケーションについて説明します。

そのため、ガイドで定義されているクレーム (Windows アカウント名のみ) を通過して、それを起動して実行できます。問題は、これ以上追加しようとしたときです。ADFS GUI で証明書利用者アプリケーションに移動し、Pass Through または Filter Incoming Claimルール テンプレートを使用して、Issuance Transform ルールを追加できます。ただし、アプリケーションを実行すると、追加されたクレーム タイプがNameでない限り、アプリケーションにクレームが渡されません。

私が通過させたかったものの 1 つは、アプリケーションにログインしたユーザーの電子メール アドレスでした。そこで、電子メール アドレスを通過させるルールを追加し、サンプル アプリケーションの web.config を更新して、claimTypeRequiredセクションの下にある次の行のコメントを外しました。

非オプションとして設定していることに注意してください。また、アプリケーションのフェデレーション メタデータを更新して、以下を追加しました。

次に、ADFS GUI に移動し、Relying Party Trustsに移動して、サンプル アプリケーションの[フェデレーション メタデータから更新]を選択しました。そのため、承認されたクレームの 1 つとして電子メールがリストされます。

次に、Claims Provider Trustsに移動し、電子メール クレーム ルールを Active Directory プロバイダー信頼の Acceptance Transform Rules に追加しました (リストされているのは 1 つだけです)。

ただし、アプリを実行すると、電子メール要求 (または私が試した他のもの) を通過しません。ここで何が欠けているのか誰か教えてもらえますか?

また、電子メール クレーム ルールのみを受け入れるようにアプリケーションを変更するテストを実行したところ、電子メールを通過しなかっただけでなく、Windows アカウント名と名前クレームを通過しているという事実にも関わらず、注意する必要があります。私はそれらを私のアプリケーションの承認されたクレームとしてリストすることさえしません.

ここで私がどこで大幅に間違っているかを誰かが指摘できれば、真剣に感謝します。

前のブログ投稿に従ってログ記録を有効にした後、ログからの関連エントリは 次の とおりです。

ご覧のとおり、私が要求している情報は明らかに欠落しています。ログ出力を詳細に設定していますが、他に関心のあることは何もありません。NETWORK SERVICE ユーザー (同じクレーム セットを持つ) のトレース レコードが表示されますが、目立ったものはありません。すべてのログ エントリは情報であり、エラーはありません。

バックグラウンド：

私はホームレルムディスカバリーページで作業を行おうとしています。最終的には、ホームレルムディスカバリーページをバイパスするためにWHR句を挿入しようとしています。

アプリケーションプールを「統合」から「クラシック」に切り替えない限り、私がやろうとしていることは機能しません（ブラウザでエラーが発生します）。

問題：

ADFSのIISアプリケーションプールを「統合」から「クラシック」（フレームワークv 2.0）に切り替えると、ホームレルム検出ページがブラウザーに表示されません。

IISアプリケーションプールで[統合]に戻すと、[ホームレルムの検出]ページが正常に描画されます。

IISが「統合」に設定されたブラウザでホームレルム検出ページが描画されるように設定するにはどうすればよいですか？

Web アプリケーション (Tomcat 5.5 上) を ADFS SSO で保護したいと考えています。Web アプリケーションは、Apache2 とその書き換えモジュールを介して外部からアクセスされます。

動作させるにはいくつかの手順があります (順不同)。ADFS - ADDS b. シボレス - ADFS c. Apache2 - シボレス d. XXXXX - トムキャット

すべてのチュートリアルは明確ではないか、多くのバグがあるか、古くなっているため、上記のすべての手順に問題があります。ADFS と ADDS は Windows Server 2008 R2 で実行されています Shibboleth、Apache2、Tomcat は Centos 5.5 で実行されています

上記のすべてのテクノロジーを接続する方法についてアドバイスをお願いします。

これが私のために働くShibboleth構成です：

Apache の設定は次のとおりです。

また、ADFS 2.0 にRelying Party Trustを追加し、次のプロパティを設定しました。

また、 SAML アサーション コンシューマ エンドポイントを次のように追加しました。

何かを逃したかどうかはわかりません。

今、私は新しい問題を抱えています。ブラウザはログインしたかどうかを認識しますが、webapp 側で誰がログインしているかを知る必要があります ( HTTP_EMAILなどのプロパティがありますが、これらはすべて空です。

Silverlight アプリケーションは、WCF サービスに接続して、Silverlight と同じドメインでホストされている中間 WCF サービスを介してデータをフェッチする必要があります。つまり、Silverlight は中間サービスを呼び出します。中間サービスは、要求と共に IssuedToken を添付し、それをメインの WCF クライアントに送信します。メインの WCF サービスは、Thread.Principal からクレームを取得します。

しかし、このコードは失敗します。これを達成する方法に関するプロパティ ドキュメントが見つかりません。誰でもこれで私を助けてくれませんか。

ありがとう、

独自のサーバーに TFS をインストールしました。新しい TFS プロジェクトを作成するたびに、新しい SharePoint サブサイトを作成したいと考えています。ただし、管理コンソールでしばらく遊んでいた SharePoint を TFS に表示させることができません。

以前に TFS と SharePoint をインストールしたことがありますが、今回は SharePoint で ADFS フォーム認証を使用していて、2 つのサービス間の接続を確立できないようです。

誰もこれを成功させましたか？