Вопросы Теги

ADFS, Полагающийся Сторона - конфигурация конечной точки

Я работаю над установкой лабораторной среды с двумя Windows Server (виртуальные) машины, которые сотрудничают в AD конфигурации FS.

High level architecture overview

  • WIN-TORHJGJ7N: Windows Server 2012, рабочий AD FS 2.0. Также контроллер домена.
  • ADFSSERVERPROXY: Несмотря на его имя, не действительно настроенное как прокси (все же). Самое главное это содержит работу веб-приложения https://adfstest.sub.domain.com/. Это защищено с AD Windows Token-Based Agent FS, как показано на ниже изображения. Веб-приложение является простым "привет мировая" программа, таким образом, никакая логика аутентификации на той стороне вообще.

enter image description here

На моей первой машине я хочу настроить свое Полагающееся Партийное Доверие, но я испытываю затруднения при конфигурировании моих конечных точек. Я попробовал http://sts1.sub.domain.com/adfs/ls/, http://adfstest.sub.domain.com/ и другие изменения, но действительно я просто не уверен, что предназначается для движения туда. Действительно ли это - произвольное значение, или это должно указать на определенное местоположение? Если это должно указать на мое веб-приложение, я должен реализовать логику аутентификации в приложении?

Relying Party Trust Endpoint

Так, прерывая длинную историю: что, как ожидают, будет полагающимися партийными доверительными конечными точками в этой установке?

Править:
Одна из ошибок, которые я получаю, когда я указываю на конечную точку на произвольный URL на стороне приложения (https://adfstest.sub.domain.com/), следующее:

AD веб-Агент FS для Windows NT основанные на маркере приложения встретился с серьезной ошибкой. Cookie, которые были представлены клиентом, не могли быть проверены.

Это условие происходит, когда клиент представляет правильно построенные cookie, которые не допустимы. Если клиент, как известно, является действительным пользователем, эта ошибка могла бы быть вызвана переходной проблемой. Например, управляемая по доверенности собственность (например, сертификаты), возможно, недавно изменилась, или состояние аннулирования не может быть доступным от центра сертификации.

Пользовательское Действие Ищет дополнительные события в журнале безопасности, который может содержать больше деталей. Рассмотрите аудит отказа включения на этом веб-сервере, если аудит уже не включен.

2
задан 3 October 2014 в 17:30
1 ответ

Эта лаборатория только для вашего обучения или для какого-то доказательства концепции, предназначенной для использования в производстве позже?

Подход агента на основе токенов, который вы пытаетесь внедрить - это старый школьный метод, введенный в 2003 R2. Уверены ли вы, что это необходимо для производства?

Современный способ объединения приложений заключается в использовании WIF. Смотрите http://msdn.microsoft.com/en-us/library/hh987037(v=vs.110).aspx для примера использования последней версии WIF.

В этом образце заменить ссылки на

  • http://localhost:13922/wsFederationSTS/Issue на http://sts1.sub.domain.com/adfs/ls/ и
  • http://localhost:28503/ на http://adfstest.sub.domain. com/ и
  • 1234567890ABCDEFGIJKLMNOPQRSTUVWXYZ1234, где при выполнении команды get-adfscertificate в AD FS

также смотрите http://www.cloudidentity.com/blog/2014/02/12/use-the-on-premises-organizational-authentication-option-adfs-with-asp-net-in-visual-studio-2013/ и заканчивайте пример использования WIF и AD FS. В этой статье показана AD FS на Windows Server 2012 R2 в использовании, но она отлично применима здесь

.
1
ответ дан 3 December 2019 в 12:50

Теги

Похожие вопросы