問題タブ [adfs]

私は単純なロード バランサーを実装しています。これは、ブラウザーからの着信要求を解析し、適切な ASP.NET アプリケーションにルーティングする http リスナーです。特定のポート (8801) でリッスンし、ルーティング時に元の URI を保持し、ポート番号のみを変更します。たとえば、 https ://machine.domain.com:8801/testsite/Default.aspx をhttps://machineにルーティングできます。 .domain.com:8811/testsite/Default.aspx

セキュリティ ルーティングがなくても問題なく動作します。ASP.NET アプリに WIF フェデレーションを適用しようとすると、問題が発生します。ADFS 2.0 を使用しています。私が試した2つのシナリオは次のとおりです。

シナリオ1

証明書利用者の WS-Federation パッシブ エンドポイントが ASP.NET アプリ URI に設定されている

ブラウザーからロード バランサー URI にアクセスすると、ロード バランサーが ASP.NET アプリにルーティングされ、ページが読み込まれます。ただし、STS からの RequestSecurityTokenResponse は (ロード バランサーではなく) ASP.NET アプリに直接リダイレクトされます。エンドポイントの設定。動作しますが、ASP.NET アプリへの通信全体をロード バランサー経由で処理したいので、このシナリオは私の要件を満たしていません。

シナリオ 2

証明書利用者の WS-Federation パッシブ エンドポイントがロード バランサー URI に設定されている

ロード バランサーの URI がブラウザーを介してアクセスされると、ロード バランサーは ASP.NET アプリにルーティングされ、Unauthorized 応答が返されます。ブラウザーは STS にリダイレクトされ、RequestSecurityTokenResponse はロード バランサーにリダイレクトされますが、さらに ASP.NET アプリにルーティングされると、I 401 の応答を取得 - 権限がありません: 資格情報が無効なため、アクセスが拒否されました。これは、ロード バランサー URI に対して saml トークンが発行されるため、URI の不一致によるものと思われます。オーディエンス URI とレルムのさまざまな組み合わせを試しましたが、成功しませんでした。

私の質問は、ASP.NET アプリはロード バランサーからしかアクセスできないため、ロード バランサーが必要なすべてのフェデレーション通信を処理できるようにする回避策があるかどうかです。

私の問題を十分に明確に説明したことを願っています。

どうもありがとうございました

SQL Server Reporting Services 2005 を Windows 2008 R2 マシンにインストールし、Windows 認証をレポート サーバーとレポート マネージャー仮想アプリケーションに正常に統合しました。レポート マネージャーとレポート サーバーを ADFS に統合できるかどうか知っていますか?

非常に役立つチュートリアルをいくつか見つけましたが、これまでのところ、ADFS を使用して IIS 7.5 でレポート仮想アプリケーションを実行することに関連する情報を見つけることができませんでした。IIS 6 での実行は可能に見えます。

サード パーティのアカウント プロバイダーへの認証を使用して SharePoint の POC を構成していますが、いくつかの問題が発生しており、Microsoft が提供するドキュメント ( http://technet.microsoft.com/en-us/library/cc731443(v=ws.10 )) に従っています。 .aspx . 私が見たドキュメントのほとんどは、ADFS 2.0 RTW に関するものです。

問題は、SharePoint サイトにアクセスしようとすると、アカウント プロバイダーの ADFS サイトにリダイレクトされ、NTLM プロンプト ポップアップが表示されることです。資格情報を入力すると、次のエラーが表示されます

URL "https://spadfsweb.spdev.com/_layouts/Authenticate.aspx?Source=/" を持つアプリケーションのトークン要求は、URL が既知の信頼できるアプリケーションを識別しないため、実行できません。

これが私のセットアップです

ADFS アカウント プロバイダー (ADFS ロールと DC は別のマシンにあります)

• Windows 2008 R2
• ADFS ロールが追加されました
• ADFS の次のパラメーターがあります。
  • トークン署名証明書 " sts.adfsaccount.spaccount.com "
  • フェデレーション サービス URI
    • urn:federation:accountprovider
  • フェデレーション サービス エンドポイントの URL
    • https://sts.adfsaccount.spaccount.com/adfs/ls/
• トークン署名証明書をエクスポートし、それをリソース パートナー ADFS にインポートしました

ADFS リソース パートナー (ADFS の役割と DC は別のマシンにあります)

• Windows 2008 R2
• ADFS ロールが追加されました
• ADFS の次のパラメーターがあります。
  • トークン署名証明書 " sts.staging.spresource.com "
  • フェデレーション サービス URI
    • urn:federation:resourceprovider
  • フェデレーション サービス エンドポイントの URL
    • https://sts.staging.spresource.com/adfs/ls/
• sharepoint である次の信頼できるアプリケーションがあります
  • https://spadfsweb.spdev.com/_trust/、私は以下のようなあらゆる種類の組み合わせを持っています
    • https://spadfsweb.spdev.com
    • https://spadfsweb.spdev.com/_layouts
• トークン署名証明書をエクスポートし、それをアカウント パートナーの ADFS にインポートしました

以下は、SharePoint サイトを構成した手順です。

---SharePoint には、リソース プロバイダーの uri、アカウント パートナーの署名証明書、およびアカウント パートナーの adfs url があります。

何か間違ったことをしている場合はお知らせください。

ありがとうディーパック

Silverlight、WIF、および ADFS でパッシブ フェデレーション認証を使用しています。トレーニング ツールキットの例に従いましたhttp://msdn.microsoft.com/en-us/identitytrainingcourse_silverligthandidentity2010_topic2

すべて正常に動作します。クレームが返され、ユーザーが認証されます。RIA サービスでは問題なく動作しています。

問題は、アプリケーションを 1 時間使用した後に発生します。トークンが無効になったように見え、Silverlight クライアントからドメイン サービスへの後続の呼び出しはすべて失敗します。

ADFS 設定を確認しましたが、すべてデフォルトです。

• Get-ADFSRelyingPartyTrusts は、TokenLifetime = 0 であることを示しています
• Get-ADFSProperties は、SsoLifetime = 480 (8 時間と想定) を示しています。

トレーニング キットに含まれているアセンブリを使用しています: SL.IdentityModel & SL.IdentityModel.Server。

オンラインで鮮度値の設定について言及している人を見たことがありますが、SL.IdentityModel.Server サービスによってすべてが自動設定されるため、これは当てはまらないようです。

ASP.netWebアプリの認証にADFSを使用しています。STSサーバーは、ブラウザーをhttps://test.contoso.comにリダイレクトします。STSは、最初にクライアントをSTSにリダイレクトするときに、リターンURLパラメーターを許可しません。

ブラウザをhttps://test.contoso.comから（STSからリダイレクトした後）他のURL、たとえばhttps://variableName.test1.contoso2.comにリダイレクトすることは可能でしょうか？

どんな助けでも大歓迎です。

広告に使用される内部ドメイン名foo.localがあります。現在、認証にadfsを使用するアプリケーションをセットアップしており、adfsにapp.foo.comとadfs.foo.comを使用したいと考えています。

adfs.foo.localでadfsインスタンスをセットアップし、cn = adfs.foo.comでssl証明書を使用する2番目のWebアプリケーションをadfs.foo.localマシンで作成する場合、これで十分ですか、またはこれを実行するには、adfsプロキシが必要ですか？

ユーザーがページ上の値（テキストボックス/ LOV）を変更し、誤ってタブ/キャンセルボタンを閉じた場合に、カスタムポップアップ警告メッセージを表示する必要があります。

私が試したオプションは次のとおりです。

a）アプリケーション内では、7つの異なるシナリオに複雑なタスクフロー/RegionModelを使用しています。また、要件はカスタムメッセージを表示することです-したがって、アプローチ「unsaveddatawarning」を使用できませんでした

http://www.oracle.com/technetwork/developer-tools/adf/unsaveddatawarning-100139.html

b）私が試した2番目のオプションは、カスタムリージョンコントローラーを使用することでした。CustomRegionControllerはRegionControllerを実装します

validateRegion（RegionContext regionContext）の内部で、ページデータがダーティかどうかを検出すると考えられています

また

どちらのシナリオでも、常にtrueになります（データがページの読み込み時にレンダリングされると、VO / View Linkアプリケーションモジュールの一般的なセットが常にダーティになるためと思われます）。

私に残された最後のオプションは、各要素（textbaox、LOV、チェックボックス）に対してvalueChangeListenerを呼び出すことです。私はこのオプションがまったく好きではありません。このシナリオを処理するためのより良い方法があるかどうかを提案してください。

Web アプリケーションで ADFS を使用して SSO を実行しようとしている顧客がいます。ComponentSpace SAML 2.0 ライブラリを使用しています。送信されるアサーションは次のようになります。

ComponentSpace ライブラリは、HTTP ポストから完全な SamlResponse を取得していますが、アサーションは報告されません (つまり、samlResponse.GetAssertions().Count == 0)。ComponentSpace の例を使用すると機能しますが、ComponentSpace ライブラリで構築したすべての要素に「saml:」という接頭辞が付いていることに気付きました (そうあるべきだと思います)。

ComponentSpace ライブラリは、saml: プレフィックスなしでアサーションを見つけることができるはずですか?それとも、正しく送信するように ADFS を構成する方法はありますか?

Google に問い合わせていますが、答えが見つかりません。

組織のために ADFS サーバーをローカルに実装したいと考えています。これは、すべてのアプリ、内部、DMZ、およびパートナーの SSO の場所になります。この場合、Google はパートナーです (Apps for Business)。Google への認証に SAML2.0 を使用する ADFS ページが必要です。私はこれが可能であることを知っています。

私が持っている質問は、Gmail のメールとカレンダーをモバイル デバイスに追加するユーザーに、これがどのように影響するかということです。どうにかしてユーザー名とパスワードを Google と同期する必要がありますか、それとも何とか機能しますか?

当社の Web アプリケーション (イントラネットではない) を使用している顧客が何人かいます。一部の顧客は、ログインを組織の Active Directory と統合する必要があります。彼らは、ユーザーが自分の Windows アカウントにログインし、ユーザー資格情報を入力せずに Web アプリケーションにアクセスできるようにしたいだけです。

ADFS に関する記事をいくつか読みましたが、それを統合または実装する方法がまだわかりません。提案された解決策はありますか？

ありがとう！