adfs2.0 – 启用了非声明的ASP.NET应用程序和ADFS v2.0

FedUtil修改web.config,因此身份验证方法为“None”,并在Web请求中尽早插入一些处理程序以查看是否存在会话,如果没有通过重定向到指定的STS创建会话,STS就是这样,并将令牌传回网站.另一个处理程序接收令牌并基于令牌构建IClaimsPrincipal对象. Thread.CurrentPrincipal对象设置为IClaimsPrincipal.因此,Windows身份验证不会发生在Web应用程序中(但它在ADFS中).

OWA(与所有构建良好的Web应用程序一样)查看Thread.CurrentPrincipal以获取用户的身份.只要STS提供的值与OWA所期望的相匹配,OWA就会很高兴.某些声明可通过Thread.CurrentPrincipal获得,例如Name声明,这是OWA用于获取用户名的声明.创建C2WTS是为了在理解声明的应用程序和不通过创建Windows令牌并将其附加到用户会话的应用程序之间充当垫片. OWA需要调用Active Directory来获取某些信息,并通过Windows身份验证来完成,因此需要Windows令牌.

在这种情况下,无法退出ADFS,但您仍然可以通过删除cookie来终止OWA或自定义应用程序中的会话.在自定义Web应用程序中,您可以链接到ADFS注销页面,该页面为https://adfsserver/adfs/ls/?wa=wsignout1.0并将退出ADFS.

更新：

只为其他人记录：

这种方法适用于外包身份验证,但有三个问题：

>无法访问声明对象.>你必须滚动自己的注销.>联邦元数据有一些“不同”.您无法通过URL在ADFS中将应用程序添加为RP.您必须使用导入文件机制.这意味着无法更新元数据,因此如果对RP进行任何更改,则必须删除并重新配置.