問題タブ [adfs]

ADFS 2.0 を使用してクレームを提供する ASP.NET Web サイトがあります。ADFS では、カスタム属性ストアを実装しました。このストアは、古いレガシ システムから特定の要求を受け取ります。これには時間がかかる場合があります (20 ～ 30 秒)。

私が知りたいのは、必要な場合にのみこの請求を取得する方法です。クライアントが最初にログオンしたときに、この要求を取得したくありません。常に必要なわけではありません。ADFS サーバーに戻って、ユーザーのクレームを再発行し、クレームを 1 つ追加するにはどうすればよいですか?

助けてくれてありがとう。ダリン

更新: クライアント (アクティブなクライアントとして WSTrustChannel を使用する ASP.NET ページ) から ADFS サーバーに何かを送信して、クレーム ルール条件の 1 つでテストすることはできますか?

他のアプリケーションへのリンクを持つポータル スタイル アプリケーション (asp.net/mvc を使用) を開発しています。認証に ADFS とバッキング AD を使用することを考えています。ポータルとこれらの個々のアプリケーションに対してシングル サインオンを有効にしたいと考えています。これらの個々のアプリケーション (Java と Ruby の一部) は ADFS を信頼し、認証用の SAML トークンを受け取ることができます。

ユーザーはこのポータル アプリケーションにログインする必要があります。ユーザーは既にポータルにログインしているため、ポータル内の他のアプリケーションへのリンクはシームレスに機能します。本質的に、私のポータルは ID プロバイダーです。このシナリオは ADFS で可能ですか?

ADFS2.0イベントログから次のような奇妙なエラーが発生します。

「証明書利用者'https：// my-relying-party'にWS-Federationパッシブエンドポイントアドレスがないため、フェデレーションサービスはトークン発行要求を実行できませんでした。

依拠当事者：https：// my-relying-party

このリクエストは失敗しました。

ユーザーアクション

AD FS 2.0管理スナップインを使用して、この証明書利用者にWS-Federationパッシブエンドポイントを構成します。」

これは、SAML応答がADFS 2.0によって正常に検証された後に発生しますが、証明書利用者アプリケーションのトークンの発行に失敗したようです。

ADFS2.0でIDPとSPの両方をSAML2.0として構成したので、WS-Federationエンドポイントが必要な理由がわかりません。

どんな助けでもありがたいです。

ADFS 2.0 を実行しており、さまざまな STS と連携しています。

Windows Live、OpenID、および Facebook と連携できますか?

一部のユーザーはすでにこれらの種類の資格情報を持っており、それらを使用できることはボーナスです.

その場合、[クレーム プロバイダー信頼の追加] ウィザードでフェデレーション メタデータ アドレスに使用される URL はどれですか?

他に落とし穴はありますか？

ADFS を使用して、すべての形式のブラウザー エラー メッセージを多数受け取ります。

サイトへのアクセスに問題がありました。サイトを再度参照してください。問題が解決しない場合は、このサイトの管理者に連絡し、参照番号を提供して問題を特定してください。整理番号：c14bcf7c-268d-46be-82c3-7c1d873c3df2

イベントログでこれらを見つけようとしましたが、役に立ちませんでした。

参照番号を使用してエラーを追跡するにはどうすればよいですか?

ツールをダウンロードして、ADFSv2.0がインストールされているWindows2008R2サーバーで実行しました。

LHSのボタンと同様に、すべての役割などがグレー表示されます。

指示では、[データファイル]テキストボックスでadfsdiag.outなどの新しいファイルを選択してから、ツールを「実行」するように指示されています。「エクスポート」をクリックして「実行」したと思いますが、灰色で表示されています。

adfsdiag.cabファイルをエクスポートできますが、それをデータファイルとして選択しようとすると、ファイルに有効なデータが含まれていないというエラーが表示されます。

何をしても、[データファイル]テキストボックス以外のコントロールはグレー表示されます。

私は明らかに基本的なものが欠けています-ただ何がわからないのですか？

これを成功させた人はいますか？

SelfSTSは ASP.NET アプリケーションではなく WCF アプリケーションであり、WCF 統合を行うための例やコード サンプルがあまりないように思われますか?

SelfSTS を使用すると、単体テストに非常に役立つクレームの組み合わせを動的に作成できるため、非常に便利です。

アップデート：

問題は次のとおりです。

SelfSTS が提供するフェデレーション メタデータは https ではなく http URL であるため、xml をファイルに保存する必要があります。クレーム プロバイダーの信頼を追加するときに ADFS に http URL を入力すると、https のみを受け入れることを示すエラーがスローされます。

ファイルからデータをインポートすると、ADFS でサポートされていないため、一部のフェデレーション メタデータがスキップされたと ADFS が訴えます。

次に、名前と電子メールのパススルー ルールを追加します。

SelfSTS がクレーム プロバイダーのリストに表示されるようになりました。

ただし、プロパティを表示すると、エンドポイントがありません。リスト内の他のすべての STS には、WS-Federation Passive のエンドポイントがあります。(これらはいずれも WCF ではありません)。SelfSTS が WS-Trust のエンドポイントを持っていることを期待していたでしょうか?

その後、ADFS で RP として構成されたアプリケーションに接続すると、[ホーム領域検出] ドロップダウンにすべてのパッシブ クレーム プロバイダーのエントリが含まれますが、SelfSTS のエントリはありませんか?

I'd like to support multiple authentication mechanisms such as oAuth and ADFS in my MVC site. Is this possible, and how would I go about using one or the other?

My understanding is that ADFS/WIF will hook into the entire site preventing alternates such as oAuth

.NETショップのA.NETとJavaショップのB.Javaの2社があるとします。各企業のユーザーは、他の企業の Web サイトにアクセスする必要があるため、2 つの企業は ADFS と Oracle Identity Federation または OpenSSO Federation を使用してフェデレーションを設定します。

.NET の世界では、属性は IClaimsPrincipal および IClaimsIdentity 内のクレームとしてアクセスされます。

Java の世界では、属性は HTTP ヘッダーとしてアクセスされます。

フェデレーション インフラストラクチャはこのマッピングを自動的に行いますか。

A.NET ユーザーが B.Java サイトにアクセスした場合、ユーザーは自分の属性をクレームとして取得しますか?

B.Java ユーザーが A.NET サイトにアクセスした場合、属性はヘッダーとして取得されますか?