Cấu hình là: ADFS 2.0 là IdP (cả WS-Federation và SAML 2.0 đều được hỗ trợ), ứng dụng ASP.NET làm Nhà cung cấp dịch vụ. Khi SPS yêu cầu ADFS với chuẩn WS-Federation (WIF được sử dụng) nó cho phép tôi đăng nhập vào ADFS tự động mà không có cửa sổ bật lên đăng nhập ngay cả khi phiên mới bắt đầu, để mã thông báo Kerberos thực hiện công việc của nó tốt như mong đợi. Tuy nhiên trong trường hợp SAML 2.0 (sử dụng ComponentSpace.SAML.2 lib) mỗi khi tôi mở IE9 và được chuyển hướng đến ADFS, tôi được yêu cầu nhập thông tin đăng nhập miền của cửa sổ trong cửa sổ đăng nhập bật lên chuẩn nhỏ. Có bất kỳ tham số SAML 2.0 hoặc kỹ thuật nào khác cho phép tôi thoát khỏi cửa sổ này như trong trường hợp WS-Fed không? Cảm ơnSSO trong suốt với SAML (IE, SAML 2.0, ADFS, xác thực Kerberos)
Trả lời
adfsserver.us.mycompanyname.com/adfs/ls nằm trong vùng Internet và đăng nhập tự động sẽ không xảy ra.
adfsserver/adfs/ls nằm trong vùng Intranet của bạn trong IE và sẽ đăng nhập tự động.
Bạn có thể thêm adfsserver.us.mycompanyname.com vào danh sách trang web đáng tin cậy (hoặc Intranet zone) của bạn và bạn sẽ không được nhắc nhập thông tin đăng nhập.
Hãy thử: urn:federation:authentication:windows thay vì: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport trong phần này của SAML yêu cầu 2.0 xác thực:
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:authentication:windows</saml:AuthnContextClassRef>
Thật không may tôi không thể tìm thấy một cách để làm điều đó với Component Space SAML v.2. Có một đối tượng AuthnRequest được sử dụng để tạo yêu cầu xác thực SAML 2.0, nhưng không có gì về tham chiếu lớp xác thực này bên trong nó. – YMC
Nó không phải là một câu trả lời, nó thay vì cập nhật cho câu hỏi của tôi, nhưng điều quan trọng và tôi quyết định để đặt câu trả lời để thu hút nhiều sự chú ý hơn đến nó. Những gì tôi đã tìm ra chơi với các tham số SAML trong vài ngày là nó có vẻ là không phụ thuộc vào giao thức (WS-Federation/SAML2). Những gì nó thực sự phụ thuộc vào là dài/ngắn tên miền máy chủ adfs, để yêu cầu xác thực như https://adfsserver.us.mycompanyname.com/adfs/ls làm cho cửa sổ này xuất hiện, trong khi https://adfsserver/adfs/ls thì không. Tuy nhiên tôi không thể sử dụng tên miền ngắn cho SAML 2.0, tôi gặp lỗi trong trường hợp: "MSIS1006: Điểm cuối thụ động được cấu hình 'https://adfsserver.us.mycompanyname.com/adfs/ls/' không phải là tiền tố của URI đích thông báo đến 'https: // adfsserver/adfs/ls /' ". BTW, chúng tôi sử dụng SSO trong mạng cục bộ của chúng tôi chỉ, vì vậy tôi không biết tại sao ngoại lệ này xảy ra. Có cách giải quyết nào không?
Bạn có thể thay đổi máy chủ đầu cuối thụ động bước được đề cập dưới đây như sau:
http://breakingdevelopment.blogspot.in/2012/12/adfs-msis1006-i-am-working-on-sso.html
- mở ADFS 2.0 Service Manager
- Chọn "Edit Federation Service Properties ..." từ góc trên bên phải. Điều này sẽ trả về cửa sổ Liên kết Dịch vụ Thuộc tính
- Thay đổi Số nhận dạng Dịch vụ Liên kết để khớp với URL Nhà cung cấp Nhận dạng (IdPURL) được chuyển từ ứng dụng SSO của bạn.
Điều gì cung cấp hỗ trợ SAML trong RP của bạn? Bạn đang sử dụng WIF hay cái gì? – nzpcmad
ComponentSpace.SAML.2 thư viện được sử dụng để chuyển hướng người dùng đến ADFS 2.0, cùng một cách nó được thực hiện trong các mẫu được cung cấp với thư viện. Giao thức POST được sử dụng – YMC