問題タブ [adfs2.0]

私のプロジェクトでは、デフォルトの ADFS ログイン ページを使用して、シングル サインオンとして ADFS にログインしています。ページ自体は大量のパラメーターを受け取りますが、リクエストからそれらのいずれも取得できません。次のように、カルチャを初期化するためのオーバーライド関数を作成しました。

アイデアは、リクエストの初期化カルチャ メソッドからキャッチできる何かを追加する、リンクであるフラグを持つことでした。

これで、カルチャを手動で設定する (リクエストの読み取り部分をスキップするなど) が正常に機能し、ページの言語とカルチャを変更できるようになりました。ただし、リクエストから何も取得できません。これには、元の取得 URL の定義済みパラメーターが含まれます。

また、セッションに何も保存できません。ログインページの作成方法が原因であると想定しています。

ADFS ログイン ページを動的にローカライズできた人はいますか? もしそうなら、どんな指針もいただければ幸いです。

AD FS 2.0 サインイン ページは、小さな ASP.NET Web アプリケーション (.NET 2.0 を使用) であり、カスタマイズしてルック アンド フィールと機能を変更できます。(このようなカスタマイズは、Microsoft によって明示的に文書化されています。サインイン ページのカスタマイズとそのサブページを参照してください。)

複数の「ホーム レルム」(=「クレーム プロバイダー信頼」) があり、AD FS 2.0 が (別の「認証ハンドラー」ではなく) フォーム サインインを使用するシナリオがあります。

ページHomeRealmDiscovery.aspxがヒットすると、そのページは何らかの方法で (ユーザーに尋ねるなどして) ホーム レルムを選択し、SelectHomeRealm()を呼び出す必要があります。これは通常、送信ボタンの ASP.NET イベント ハンドラーで行われます。その時点で、制御はFormsSignIn.aspxページに転送されます。

FormsSignIn ページで、HomeRealmDiscovery ページに入力された (AD FS に直接関係しない) データを使用したいと思います。ただし、そのデータにアクセスする方法はありません。

MSDN ページ「方法: ASP.NET Web ページがどのように呼び出されたかを確認する」では、制御がどのように転送されたかを調べる方法について説明しています。私の場合、FormsSignIn ページIsPostBackが false、PreviousPagenull、およびfalse であることがわかりましたIsCallback。(これもIsCrossPagePostBackfalse です。)したがって、MSDN ページは、FormsSignIn ページが「元の要求」を使用して呼び出されたことを示唆しています。しかし、そうではありません.Fiddlerなどを使用して、クライアントブラウザをリダイレクトしても制御が転送されないことを確認しているためです。したがって、これは「サーバー転送」であると予想されるためPreviousPage、HomeRealmDiscovery ページ インスタンスを取得するために使用できます。(Cookie を使用しようとしましたが、ブラウザーが転送に関与していないため、機能しません。)

したがって、私の質問は次のとおりです。AD FS 2.0 の HomeRealmDiscovery.aspx ページから FormsSignIn.aspx ページに値を渡すにはどうすればよいですか?

Framework 4.0 アプリ プールで ASP.NET MVC サイトを実行しています。リモート AD ストアに対する認証のために、その前に Active Directory フェデレーション サービス (ADFS) を配置する必要があります。認証に失敗した場合は、自分のカスタム ページにリダイレクトしたいと考えています。これを行う正しい方法は何ですか？ADFS は HTTP モジュールに実装されているため、独自の「拒否モジュール」を作成し、ADFS モジュールの前後に配置する必要がありますか?

私はSSOとADFSを初めて使用するため、最初にこのガイドを実行しようとしました：ADFS2.0フェデレーションとWIFアプリケーションのステップバイステップガイド。このガイドは、単一のマシンを使用して実行することを示していますが、私は2つの別々のマシンでIDプロバイダー（IdP）とサービスプロバイダー（SP）を実行しています。最後のステップで、IdPが認証されたリクエストをSPのWebサイトにリダイレクトすることになっていたときに問題が発生しました。代わりに、HTTP 200 Okが返され、IdPWebサイトに残ります。ユースケース：ブラウザー（IE8）でSPページを要求すると、期待どおりにIdPにリダイレクトされます。Windowsアカウントのクレデンシャルを入力するポップアップウィンドウが表示されます。ただし、SP Webページに戻る代わりに、// adfsserver / adfs/lsフォルダーのコンテンツが表示されます。

Fiddlerによると、これはhttp認証の要求/応答がどのように見えるかです。

GET https：//adfsserver/adfs/ls/？wa = wsignin1.0＆wtrealm = https％3a％2f％2fymichurin％2fClaimsAwareWebAppWithManagedSTS％2f＆wctx = rm％3d0％26id％3dpassive％26ru％3d％252fClaimsAwareWebAppWithManagedSTS 11-23T21％3a59％3a56Z HTTP /1.1..。

HTTP / 1.1 200OK... これが//adfsserver/ adfs/lsフォルダーの内容です

何が悪いのか分かりますか？

このようなものが単一のマシンではなく、別々のマシンでどのように機能するかを示す同様のADFSガイドを知っている人はいますか？

ありがとう

ここ数日間、私は WIF と ADFS 2.0 を使用した開発用のテスト環境をセットアップするために精力的に取り組んできました。私が直面している問題の 1 つは、自宅の環境に IP アドレスが 1 つしかなく、メイン サーバーに ADFS を貼り付けようとしなかったことです。そのため、FS 専用の仮想マシン (idp.yyy.local) を作成しました。

私のサイトへの直接リンクを持たないようにするために、「yyy」は「dgdev」を指します。(下の画像)

奇妙なことに、それは部分的に機能しています。これは、私のインフラストラクチャの詳細を示す画像です。

奇妙なのは、通常の HTTP と HTTPS の両方で「idp.yyy.net」を参照できることです。WS-Federation メタデータも完全に表示できます。現在、私は ADFS にまったく慣れていませんが、 http://idp.yyy.net/adfs/services/trustにアクセスすると、Windows SSL ログインにリダイレクトされると思います。代わりに、私が受け取っているのは次のとおりです。

サービスは利用できません

httpエラー503サービスを利用できません。

FS プロキシと FS で同じ SSL 証明書を使用しています。その件名は、私のメイン ドメイン名 yyy.net です。複数の Subject Alternative Names があるため、単一の IP:Port で SSL を使用して複数の IIS Web サイトをホストできます。

503 Service Unavailable エラーが表示される理由を知っている人はいますか? イベント ビューアにエラーとして何も表示されません。( AppFabric の煩わしいことを除いて、それは私がまだ触れていない別の問題です)

前もって感謝します！本当にたくさんのありがとう。私は思いつくことができるすべての道とアイデアを使い果たしました.なぜこれが「壊れている」のでしょうか?

誰かがこの問題をデバッグする方法を知っているなら、解決策としてそれを除いてください。IIS Failed Request Logging を試しましたが、何も生成されません。ADFS サービスをホストしているのはどこですか? 私がすでに見たもの：

• すべての AppPool が実行されています。
• 古い ADFS 1.0 Web サービス (asmx) には問題なくアクセスできます。
• 発行者のエンドポイントに直接アクセスできます...または少なくとも「windowstransport」

ADFS 2.0、WIF (WS-Federation): ユーザーが最初に IdP Web サイトにアクセスして認証を受けるシナリオで SSO を実装したいと考えています。このシナリオでは、顧客は、(サービス プロバイダー) Web サイトへのリンクを含むイントラネット Web ポータルを持っています。これは実際に IdP Web サイトに誘導し、ユーザーが認証されるとすぐに Web サイトにリダイレクトします。適切に実装する方法に関する技術的な詳細を含む情報を見つけることができませんでした。

これまでに行ったことは、Fiddler を使用して IdP へのリダイレクト リンクを取得し、ポータル リンクとして使用することで動作するように見えますが、それが適切な方法であるかどうかはわかりません。同じような経験をお持ちの方、教えてください。

更新: より詳細なユース ケース: 当社の顧客は、当社の Web サイト (サービス プロバイダー) へのリンクを備えた独自のイントラネット ポータルを持っています。追加の初期 http リダイレクトを回避し、さまざまな顧客に対して単一のエントリ ポイントを用意して、Web サイトがユーザーからのセキュリティ トークンを信頼して顧客の身元を認識できるようにすることです。 . ユーザーがリンクをクリックすると、まず独自のイントラネット IdP サービス (ADFS 2.0) に誘導されます。ADFS 2.0 は、ユーザーを Windows アカウントで認証し、セキュリティ トークンを追加して、ユーザーとその組織を認識できる (証明書利用者) Web サイトにユーザーをリダイレクトします (トークンによって、彼は私たちのサービスを利用することができます。シナリオに問題があるか、疑わしいと思われる場合はお知らせください。

asp.net アプリケーションで、ほんの一握りのページ (.aspx) だけを WIF で保護し、他のページをそのままにしておくことは可能ですか?

基本的に、私が望むのは、ユーザーが に着陸したときに、HomePage.aspx閲覧してアクセスできるようにすることですが、にアクセスしようとするとPageOption.aspx、WIF 設定が開始されます。ユーザーが既にログインしている場合は、素晴らしい- それ以外の場合は、ユーザーを認証できる STS ページにリダイレクトします。PageAbout.aspxPageAccount.aspx

現在、私のページはすべて WIF で保護されています。そのため、いずれかのページにアクセスしようとすると、STS ページにリダイレクトされます。

web.config ファイルを変更し、WIF で保護するページを別のフォルダーに配置して、別の web.config を提供しようとしましたが、今のところうまくいきません。

<authentication mode..また、ネストされた web.config でを設定しようとすると、エラーが発生します。なぜ私もそれができないのですか？

私が得るエラーは（15行目）です：

パーサー エラー メッセージ: アプリケーション レベルを超えて allowDefinition='MachineToApplication' として登録されたセクションを使用するのはエラーです。このエラーは、IIS で仮想ディレクトリがアプリケーションとして構成されていないことが原因である可能性があります。

ソース エラー: 15 行目:

私がやろうとしていることをさらに一歩進めて、PageOption.aspxと でフォーム認証を許可しPageAbout.aspx、ユーザーが に直接アクセスしようとすると、PageAccount.aspxフェデレーション認証を使用します。

これに光を当てることができるセキュリティの専門家はいますか?

私は、TFSの一部であり、開発チームによって使用されているasp.netWebアプリケーションに取り組んでいます。最近、プロジェクトの一環としてADFSをセットアップし、ADFSサーバーへのプロジェクトの認証を強制しようとしています。

私の開発マシンでは、フェデレーションメタデータを生成するSTS参照を追加する手順と、プロジェクトのweb.configファイルを更新する手順を実行しました。web.config内の認証では、指紋認証を使用します。これにより、ローカルマシンにADFS証明書を追加し、開発マシンの署名付き証明書を生成してADFSに追加する必要があります。

すべてがセットアップされて機能していますが、web.configを確認しています。およびFederationMetadata.xmlは、これらがマシン固有であるように「見える」ことを文書化しています。プロジェクト/ファイルをTFSにチェックインすると、ビルドを実行する次の開発者またはテスターは、マシン上でビルドが壊れてしまうのではないかと思います。

私の質問はTFS内で、このようなシナリオをチェックインし、チームが開発環境またはテスト環境で最新のコードを使用してプロジェクトをチェックアウト、ビルド、およびテストできるようにするためのプロセスは何ですか？

現時点での私の回避策は、FederationMetaData.xmlとweb.configをチェックインから除外し、各開発マシンでADFS認証と製品テストを手動でセットアップすることです。完了すると、各ユーザーは、FederationMetatData.xmlとweb.configのローカルコピーがチェックインされないようにすることができます（別名、独自のローカルコピーがあります）。チェックイン/チェックアウトするときは、各開発者が自分のコピーを保持することを確認してください（または保持しない）それらをTFSにチェックインします）

これは非常に非効率的であるように思われ、開発者はファイルのローカルコピーを自分のマシンに保持する必要があるため、ソースコード管理の本質をほとんどバイパスします。これにより、ローカルファイルを誤ってチェックインしたり、ローカルファイルを上書きしたりする可能性もあります。

（ADFS）マシン固有の構成のコードをチェックインする方法についてのリファレンス、ドキュメント、または情報があり、開発環境全体を無駄にすることはありませんか？

前もって感謝します、

ADFS 2.0、WIF (WS-Federation)、ASP.NET: Web.config で定義された http モジュールや IdentityFoundation 構成はありません (ほとんどの WIF SDK サンプルが示すように)。および SignInRequestMessage クラス。私はコードで ADFS に http リダイレクトを行いますが、正常に動作しているようで、クレームを返し、http 要求でシリアル化されたクレームを使用してユーザーを Web サイトにリダイレクトします。問題は、WIF クラス、プロパティ、およびメソッドを使用してこの要求を解析し、そこからクレーム値を抽出する方法です。ありがとう

私はこのすべてのセキュリティ機能に不慣れで、最近 ADFS 2.0 を調査するように依頼されました。ADFS は、次の種類の X.509 証明書を使用して証明書利用者 (RP) と通信することがわかりました。

• すべての RP に共通: 1) サービス通信 2) トークン署名 3) トークン復号化
• RP 固有: 4) 暗号化証明書

ユーザー、サービスプロバイダー（当社）、IdP（ADFS）（顧客のサーバー上）の3つの部分すべてが関係する実際の本番シナリオで、どれが本当に重要で必要かを理解するのを手伝ってください。

1) MS ヘルプの最初の証明書に関して見つけたもの: 「これは、フェデレーション サーバーがインターネット インフォメーション サービス (IIS) の SSL 証明書として使用する証明書と同じです」互いに影響を与えないので、それらは間違いなく並行して機能する可能性があります。したがって、この証明書が何のために必要なのかわかりません。

2) 2 つ目は、トークンが実際に信頼できる ADFS によって発行されたものであり、傍受されていないことを RP が確認できるように、発行されたトークンにサインアップするためのものです。

3) 3 つ目はおそらく逆の目的です。ADFS は、メッセージが本当に信頼できる RP からのものであることを確認します。

4) 特定の RP の暗号化証明書は、メッセージ全体 (トークン) を暗号化するのに役立ちます。そのため、https 公開鍵を取得して ADFS からメッセージを傍受したとしても、RP だけが知っているはずの他の公開鍵がなければそれを読み取ることができません。正しい？

間違っていたら訂正してください。

これらの証明書はすべてオプションであり、Micorosoft はその重要性について何も述べていません。WIF SDK ヘルプで私が言及した唯一の言及は、実際にはトークン暗号化証明書を使用する方が良いと言っています。問題は、ADFS-RP 通信用に HTTPS プロトコルが確立されていることです (IIS は両側で https を使用するように設定されています)。安全な通信には十分ではありませんか？2)、3)、さらには 4) は本当に必要なのだろうか?