单点登录 – 为什么ADFS不通过集成Windows身份验证传递凭据?
我们设置了ADFS 2.0实例.我们将其用于第三方Web应用程序单点登录.使用SAML 2.0的现有应用程序App1可以很好地工作,包括当用户被重定向到我们的ADFS服务器时的IWA传递.
我刚刚使用SAML 2.0为另一个应用程序App2配置了第二个信赖方信任.我们正在使用所有默认的ADFS设置,包括端点.在此应用程序的SAML配置页面上,我已经告诉它我们的SAML端点是“https://adfs.mydomain.com/adfs/ls/”.一切正常,除了提示用户提供凭据; ADFS未使用IWA进行这些登录. 我正在使用IE9从本地加入的工作站进行测试.内部DNS指向我们本地加入域的ADFS服务器,外部DNS指向我们的DMZ ADFS代理. “* .mydomain.com”在GPO的IE中位于“受信任的站点”区域并已应用. IWA在IE中启用. IE每次关闭它时都会清除缓存/ cookie /历史记录.这两个应用程序都使用SP发起的登录,并且都将它们的断言发送到我们端的相同端点URL. 如果我尝试在干净的会话中登录App2,我会看到一个ADFS登录页面.如果我输入凭据,我已登录应用程序并可以继续. 如果我尝试在干净的会话中登录到App1,我会立即重定向到ADFS,IWA会通过,我已登录到应用程序并可以继续. 如果我在登录到App1后尝试在同一会话中登录到App2,我将被重定向到ADFS,使用由App1启动的现有ADFS登录会话,然后我立即重定向到App2的断言使用者服务URL并给出一个错误页面. 我最好的猜测是我在RPT配置中遗漏了一些东西. SP给我的所有内容都是使用POST绑定的消费者服务端点URL.我不得不猜测索赔规则. SP不使用加密. App2客户服务一直很困难.他们的技术支持在海外,所以我只能在当地时间午夜左右每天收到一次回复.他们的大多数回复都是标准的“从KB复制和粘贴”.他们更喜欢IdP发起的登录,但是说他们支持SP发起 – 这似乎是真的,因为SSO在登录ADFS登录页面后确实可以在干净的会话上工作. 有人知道我错过了什么吗?
可以配置和请求身份验证方法.在SAML和WS-Fed中使用相同的标识符.
在WS-Fed中请求转到whr =并且在SAML中转到认证上下文类.在SAML中,可以指定“比较”(精确,最小等,但您必须就订单达成一致). ADFS(此时)没有注意Comparison属性. 通常可以将策略定义为针对特定应用程序(RP / SP)使用特定级别.有时它可以根据源地址等进行不同的配置. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows – WinExec返回0x21,但究竟是什么意思?
- windows – 用于获取有关磁盘状态信息的命令行?
- windows-phone-7 – ApplicationBar背后的背景图片
- Windows 2019 激活教程
- 如何在Windows批处理文件中运行PowerShell脚本
- windows-7 – Windows 7本地组Power Users实际上做了什么?
- Windows Phone 7 – 如何在LongListSelector中包含ItemsPan
- Windows10 配置JAVA环境变量方法
- windows-server-2012 – Windows Server 2012故障转移DHCP
- windows和linux下如何对拍