問題タブ [adfs]

http://technet.microsoft.com/en-us/library/cc753987%28WS.10%29.aspxで提供されているこのサンプル アプリケーションを使用して 、ADFS クレーム対応アプリケーションをいじっています。私の質問は、ユーザーが ADFS を使用しているすべてのロールを取得する方法です。上記のコードには、User.IsInRole(role) を使用してロールを確認する例しかありません。

私はADFS2.0を初めて使用します。ドメインの信頼を使用しており、ADFS2.0で現在のWebアプリをADFS2.0に変換するための調査を行っています。質問は、

1. Webサーバーは、インターネットに面した境界ネットワーク上にある必要がありますか？または、Webプロキシを使用できます。または、フェデレーションプロキシがWebサーバーに組み込まれているプロキシもサポートしている場合。
2. SSL証明書はIISにある必要がありますか、それともロードバランサーでホストできますか？

1. また、asp.netでadfsを使用するには、.net 3.0以降が必要ですか？

ADFS WindowsNT対応のtokenappを作成しました。認証でWindowsNTトークンを有効にし、URLをhttps://adfsweb.treyresearch.net/tokenappとして応答するようにIIS7を構成しました。

このアプリをWindowsNTトークンベースのアプリケーションとしてadfsresourceアプリケーションに追加しました。

このweb.configファイルの使用（http://blogs.technet.com/b/adfs_documentation/archive/2006/08/03/444865.aspx#DSDOC_BKMK_667328988_f5db_446a_9261_00b4）

以下のdefault.aspx.cs。

これは、trayresearch、netユーザーでadfsresourcesドメインからログインしている限り機能します。

adatum.comドメインからこのtokenapppurlを使用すると、エラーが発生し、adfsresourceサーバーのイベントログで次のエラーが発生します。

これは、リモートドメインにWindows NTトークンを使用するには、ADFSの信頼に加えてWindowsの信頼が必要であることを意味しますか？もしそうなら、ADFSの信頼を持っていても意味がありません。もし私がWindowsドメインの信頼を持っている必要があるのなら。

クレームアプリをリモートドメインから正しく機能させることはできますが、すべての信頼ポリシーのエクスポートのインポートが完了した後で、この新しいtokenappを追加しましたhttp://technet.microsoft.com/en-us/library/cc731103%28WS.10% 29.aspx

また、以下の情報をフォローして確認しました http://technet.microsoft.com/en-us/library/cc734929%28WS.10%29.aspx

Asp.net/c#のWebアプリケーションの1つで統合Windows認証からADFS1.0への移行を計画しています。問題は、この新しいインフラストラクチャに完全に移行できないことです。両方のシステムをしばらく維持する必要があります。 。私が持っている質問は、web.configsをどのように設定できますか？adfsサイトとWindows統合側への昇格時にuser.configsを使用してweb.configsをオーバーライドしますか？私の計画は、adfsサイトとWindows統合サイトを2つの異なるサーバーでホストすることです。Visual Studioでの開発はどうですか？どうすれば処理できますか？私はADFSを初めて使用するため、ADFSweb.configの変更についてはあまり詳しくありません。

asp.net アプリケーションで、ほんの一握りのページ (.aspx) だけを WIF で保護し、他のページをそのままにしておくことは可能ですか?

基本的に、私が望むのは、ユーザーが に着陸したときに、HomePage.aspx閲覧してアクセスできるようにすることですが、にアクセスしようとするとPageOption.aspx、WIF 設定が開始されます。ユーザーが既にログインしている場合は、素晴らしい- それ以外の場合は、ユーザーを認証できる STS ページにリダイレクトします。PageAbout.aspxPageAccount.aspx

現在、私のページはすべて WIF で保護されています。そのため、いずれかのページにアクセスしようとすると、STS ページにリダイレクトされます。

web.config ファイルを変更し、WIF で保護するページを別のフォルダーに配置して、別の web.config を提供しようとしましたが、今のところうまくいきません。

<authentication mode..また、ネストされた web.config でを設定しようとすると、エラーが発生します。なぜ私もそれができないのですか？

私が得るエラーは（15行目）です：

パーサー エラー メッセージ: アプリケーション レベルを超えて allowDefinition='MachineToApplication' として登録されたセクションを使用するのはエラーです。このエラーは、IIS で仮想ディレクトリがアプリケーションとして構成されていないことが原因である可能性があります。

ソース エラー: 15 行目:

私がやろうとしていることをさらに一歩進めて、PageOption.aspxと でフォーム認証を許可しPageAbout.aspx、ユーザーが に直接アクセスしようとすると、PageAccount.aspxフェデレーション認証を使用します。

これに光を当てることができるセキュリティの専門家はいますか?

私は、TFSの一部であり、開発チームによって使用されているasp.netWebアプリケーションに取り組んでいます。最近、プロジェクトの一環としてADFSをセットアップし、ADFSサーバーへのプロジェクトの認証を強制しようとしています。

私の開発マシンでは、フェデレーションメタデータを生成するSTS参照を追加する手順と、プロジェクトのweb.configファイルを更新する手順を実行しました。web.config内の認証では、指紋認証を使用します。これにより、ローカルマシンにADFS証明書を追加し、開発マシンの署名付き証明書を生成してADFSに追加する必要があります。

すべてがセットアップされて機能していますが、web.configを確認しています。およびFederationMetadata.xmlは、これらがマシン固有であるように「見える」ことを文書化しています。プロジェクト/ファイルをTFSにチェックインすると、ビルドを実行する次の開発者またはテスターは、マシン上でビルドが壊れてしまうのではないかと思います。

私の質問はTFS内で、このようなシナリオをチェックインし、チームが開発環境またはテスト環境で最新のコードを使用してプロジェクトをチェックアウト、ビルド、およびテストできるようにするためのプロセスは何ですか？

現時点での私の回避策は、FederationMetaData.xmlとweb.configをチェックインから除外し、各開発マシンでADFS認証と製品テストを手動でセットアップすることです。完了すると、各ユーザーは、FederationMetatData.xmlとweb.configのローカルコピーがチェックインされないようにすることができます（別名、独自のローカルコピーがあります）。チェックイン/チェックアウトするときは、各開発者が自分のコピーを保持することを確認してください（または保持しない）それらをTFSにチェックインします）

これは非常に非効率的であるように思われ、開発者はファイルのローカルコピーを自分のマシンに保持する必要があるため、ソースコード管理の本質をほとんどバイパスします。これにより、ローカルファイルを誤ってチェックインしたり、ローカルファイルを上書きしたりする可能性もあります。

（ADFS）マシン固有の構成のコードをチェックインする方法についてのリファレンス、ドキュメント、または情報があり、開発環境全体を無駄にすることはありませんか？

前もって感謝します、

ADFS 2.0、ACS、および WIF を使用して、セット オフ .NET アプリケーション (Web および Windows) にシングル サインオンを提供する予定です。私はこれらのテクノロジーにまったく慣れていません。

私はチャンネル 9 でかなりの数のビデオを見てきましたが、それらのほとんどは google、yahoo facebook を使用して SSO を提供しています。ACS で ADFS を構成するための段階的なプロセスを提供していただければ幸いです。

WCF から ADFS と ACS を呼び出すことはできますか? ADFS および ACS と連携し、SAML を発行して一連のアプリケーションにトークンを発行する WCF を用意する予定です。つまり、アプリケーションが必要な資格情報を使用して認証のために WCF を呼び出し、WCF が ADFS を呼び出して IdPToken を取得し、その IdpToken が ACS に送信して SAML トークンを取得し、返された SAML トークンがアプリケーションに転送されるようです。この例のセットを検索しようとしましたが、見つかりませんでした。いくつかのガイダンスまたはリンクが役立ちます。

また、インターネットで利用できる ADFS が必要ですか? パブリック ドメインに公開する必要がありますか?

私たちは、いくつかの顧客向けシステムのユーザー認証を担当する ADFS (2.0) を確立しています。認証メカニズムは、複数の認証プロバイダーへのアクセスを提供する外部パートナーに委託されています。

最近、次のシナリオに遭遇しました。

1. ユーザーが顧客向けシステム A にアクセスしようとすると、認証のために ADFS にリダイレクトされます。
2. ADFS はユーザーを認証パートナーにリダイレクトし、そこで正常に認証されます。
3. ユーザーは、認証トークンとともに ADFS に送り返されます。
4. ADFS はユーザーをシステム A に送り返します。彼は現在、システム A とのセッションを持っています。
5. ユーザーは、まだ認証されていないシステム B へのアクセスを試み、ADFS に送信されます。

ここで、ADFS が期待した動作から逸脱しています。ADFS は、ユーザーを認識し、有効な認証トークンを使用してユーザーをシステム B に透過的に送信する代わりに、再認証のためにユーザーを認証パートナーに送信します。

これにより、システム A と B を使用している顧客に必要な SSO 機能が完全に破壊されますが、ADFS でユーザー セッションを確立し、2 番目のシステムへのアクセス中にそれを再利用する方法は見つかりませんでした。

誰かがこの問題を解決しましたか?

ADFS は、認証を完全に担当する場合にのみシングル サインオンを提供できますか?

ADFSがインストールされているドメイン/ADではなく、別のADAMストアにADFSを構成するにはどうすればよいですか？

例：ADFS 2.0はxyz.comドメインにインストールされており、ユーザー認証は一部のADAMストアで行われます（接続文字列のみ）...

.net 2.0 Web アプリケーションで ADFS 2.0 を使用しています Web アプリケーションで httpcontext.current.user.identity.name を取得しようとしていますが、空になります。この値を取得するには、どのクレーム ルールを設定する必要がありますか? 受信クレームを変換しようとしました 受信クレームの種類: AD FS 1.x UPN 送信クレームの種類: 名前 ID 送信名 ID 形式: UPN

また、Ldap Attributes を Claims Attribute STore:Active Directory として送信しようとしました

LDAP 属性 発信クレーム タイプ SAM-Account-Name SamAccountName Token-Groups- Unqailfied Names Group User-Principal-Name AD FS 1.x UPN

私のコードは ADFS 1.0 で動作していましたが、fs の URL を adfs2.0 に変更したところ、この問題が発生し始めました。