Konfiguracja: ADFS 2.0 jako IdP (obsługiwane są oba rozwiązania WS-Federation i SAML 2.0), aplikacja ASP.NET jako dostawca usług. Gdy SPS żąda programu ADFS ze standardem WS-Federation (używany WIF), pozwala mi automatycznie logować się do ADFS bez okna wyskakującego, nawet jeśli została uruchomiona nowa sesja, więc token Kerberos wykonuje swoją pracę zgodnie z oczekiwaniami. Jednak w przypadku SAML 2.0 (używana jest biblioteka ComponentSpace.SAML.2) za każdym razem, gdy uruchamiam IE9 i przekierowuję do ADFS, proszono mnie o wpisanie referencji mojej domeny systemu Windows w standardowym małym wyskakującym oknie logowania. Czy jakikolwiek parametr SAML 2.0 lub inna technika pozwala mi pozbyć się tego okna jak w przypadku WS-Fed? DziękiPrzejrzyste logowanie jednokrotne z uwierzytelnianiem SAML (IE, SAML 2.0, ADFS, uwierzytelnianie Kerberos)
Odpowiedz
adfsserver.us.mycompanyname.com/adfs/ls znajduje się w strefie Internet i automatyczne logowanie się nie odbędzie.
adfsserver/adfs/ls znajduje się w twojej strefie intranetowej w IE i zaloguje się automatycznie.
Możesz dodać adres adfsserver.us.mycompanyname.com do listy witryn zaufanych (lub stref intranetowych) i nie powinieneś otrzymywać monitu o poświadczenia.
Spróbuj: urn:federation:authentication:windows zamiast: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport w tej części żądania uwierzytelnienia 2,0 SAML:
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:authentication:windows</saml:AuthnContextClassRef>
Niestety nie mogę znaleźć sposobu, aby to zrobić z Component Space SAML v.2. Istnieje obiekt AuthnRequest, który służy do tworzenia żądania uwierzytelnienia SAML 2.0, ale nie ma w nim nic o odwołaniu do klasy uwierzytelniania. – YMC
To nie jest odpowiedź, to raczej aktualizacji na moje pytanie, ale ważne i postanowiłem ująć go jako odpowiedź, aby przyciągnąć do niego więcej uwagi. Czego się nauczyłem, bawiąc się parametrami SAML przez kilka dni, wydaje się, że nie zależy to od protokołu (WS-Federation/SAML2). To, czego tak naprawdę zależy, to długa/krótka nazwa domeny serwera adfs, aby żądanie uwierzytelnienia, takie jak https://adfsserver.us.mycompanyname.com/adfs/ls, powodowało wyświetlenie tego okna, podczas gdy https://adfsserver/adfs/ls nie. Jednak nie mogę używać krótkiej nazwy domeny dla SAML 2.0, otrzymuję komunikat o błędzie: "MSIS1006: skonfigurowany pasywny punkt końcowy" https://adfsserver.us.mycompanyname.com/adfs/ls/ "nie jest prefiksem przychodzącego komunikatu SAML Docelowy identyfikator URI "https: // adfsserver/adfs/ls /" ". BTW, używamy SSO tylko w naszym lokalnym intranecie, więc nie wiem, dlaczego ten wyjątek się pojawia. Jakiekolwiek obejście?
można zmienić pasywnego serwera końcowego następujących kroków wymienionych poniżej:
http://breakingdevelopment.blogspot.in/2012/12/adfs-msis1006-i-am-working-on-sso.html
- Otwórz Menedżer usługi ADFS 2.0
- "EDIT Properties usługa federacyjna ..." w prawym górnym rogu. Pojawi się okno Właściwości usługi federacyjnej
- Zmień identyfikator usługi federacyjnej, aby pasował do adresu dostawcy tożsamości (IdPURL) przekazanego z aplikacji logowania jednokrotnego.
- 1. SAML z .NET 2.0
- 2. SAML 2.0 kontra OpenID
- 3. WIF (Windows Identity Foundation) z SAML 2.0
- 4. Dostawca tożsamości SAML oparty na Active Directory
- 5. Pojedyncze logowanie na wiosnę przy użyciu rozszerzenia SAML i Shibboleth
- 6. SAML 2.0 SSO dla Ruby on Rails?
- 7. SAML Zapytanie Atrybuty AuthnRequest
- 8. Windows Identity Foundation nie obsługuje oficjalnie SAML 2.0; używać WIF CTP lub trzymać z SAML 1.1?
- 9. Angularjs i SAML, początek
- 10. Autoryzacja LDAP a SAML
- 11. Co przedstawiać w URL-u SAML EntityID?
- 12. Jak wdrożyć lub zintegrować pojedyncze logowanie z SAML i Shibboleth
- 13. Właściwa kanonizacja XML dla SAML
- 14. Wieloplatformowe logowanie jednokrotne - od czego zacząć?
- 15. Jak zindeksować witrynę internetową z uwierzytelnianiem SAML za pomocą narzędzia ManifoldCF lub Nutch?
- 16. Tworzenie własnego tokena SAML
- 17. NodeJS SAML Lib
- 18. Uwierzytelnianie Kerberos z pytonem
- 19. Czy istnieje standardowy format zaszyfrowanego potwierdzenia SAML 2.0
- 20. Skojarzone kontra delegowane, OAuth kontra OpenID Connect vs SAML
- 21. Biblioteka/komponent SAML dla .NET
- 22. Uwierzytelnianie WCF i Kerberos
- 23. Dostęp do witryny SharePoint z aplikacji Java z uwierzytelnianiem Kerberos
- 24. Implementacja klienta SAML dla Androida?
- 25. Jednokrotne logowanie do aplikacji .NET zintegrowanej z Active Directory
- 26. Sprawdź poprawność podpisu SAML java z C#
- 27. Szyny - Używanie omniauth-saml z wieloma IDP
- 28. Certyfikat podpisu SAML - jaki typ certyfikatu SSL?
- 29. Jak dodać nowe metadane idp wiosną SAML w środowisku wykonawczym
- 30. Uzyskiwanie błędu podczas odszyfrowywania tokenu Saml
Co zapewnia obsługę SAML w ramach RP? Czy korzystasz z WIF lub co? – nzpcmad
Biblioteka ComponentSpace.SAML.2 służy do przekierowania użytkownika do programu ADFS 2.0, tak samo jak w przypadku próbek dostarczonych z biblioteką. Protokół POST jest używany – YMC