gpt4 book ai didi

adfs2.0 - 未启用声明的 ASP.NET 应用程序和 ADFS v2.0

转载 作者:行者123 更新时间:2023-12-01 04:10:51 24 4
gpt4 key购买 nike

article让我思考当您通过 FedUtil 将非声明启用的 ASP.NET 应用程序与 ADFS 联合时会发生什么。

这篇文章建议让这项工作发挥作用的关键是打开对 Windows token 服务 (C2WTS) 的声明。此服务有效地将 ADFS token 转换为 Windows token 。

因此,我使用 Windows 身份验证构建了一个快速的 ASP.NET 应用程序,运行 FedUtil,我可以使用 ADFS Windows 身份验证或 StarterSTS 对 ADFS 进行身份验证。问题是 C2WTS 没有运行,所以它可以工作,尽管我预计它不会。

显然您无权访问应用程序内的声明对象,但否则它就没有问题。

然而,这确实提出了一个问题。由于您无法访问 FederatedPassiveSignOut 等,您如何从 ADFS 注销?

是否将 token 发送到应用程序?

它只是忽略它们而不抛出任何异常吗?

C2WTS 是否需要成为图片的一部分?

我错过了什么吗?

最佳答案

在其他论坛上提问时,Steve Syfuhs 回答说:

FedUtil 修改了 web.config,因此身份验证方法为“无”,并在 Web 请求的早期插入一些处理程序以查看 session 是否存在,如果不存在,则通过重定向到指定的 STS 创建 session , STS 做它的事情,并将 token 传递回站点。另一个处理程序接收 token 并基于该 token 构建一个 IClaimsPrincipal 对象。 Thread.CurrentPrincipal 对象设置为 IClaimsPrincipal。因此,Windows 身份验证不会在 Web 应用程序中进行(但在 ADFS 中)。

OWA(所有构建良好的 Web 应用程序都应该如此)查看 Thread.CurrentPrincipal 以获取用户身份。只要 STS 提供的值与 OWA 期望的值相匹配,OWA 就会感到高兴。某些声明可通过 Thread.CurrentPrincipal 获得,例如 Name 声明,OWA 使用它来获取用户名。通过创建 Windows token 并将其附加到用户的 session ,创建 C2WTS 是为了充当理解 Claims 的应用程序和不理解 Claims 的应用程序之间的垫片。 OWA 需要调用 Active Directory 来获取某些信息,它通过 Windows 身份验证来完成,因此需要一个 Windows token 。

在这种情况下,无法注销 ADFS,但您仍然可以通过删除 cookie 来终止 OWA 或您的自定义应用程序中的 session 。在自定义 Web 应用程序中,您可以链接到 ADFS 注销页面,即 https://adfsserver/adfs/ls/?wa=wsignout1.0这将退出 ADFS。

更新:

只是为了记录其他人:

这种方法适用于外包认证,但存在三个问题:

  • 无法访问声明对象。
  • 您必须推出自己的注销。
  • 联邦元数据有些“不同”之处。您不能通过 URL 将应用程序添加为 ADFS 中的 RP。您必须使用导入文件机制。这意味着无法更新元数据,因此如果 RP 有任何更改,您必须删除并重新配置。
  • 关于adfs2.0 - 未启用声明的 ASP.NET 应用程序和 ADFS v2.0,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6366691/

    24 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com