Конфигурация: ADFS 2.0 как IdP (поддерживаются как WS-Federation, так и SAML 2.0), приложение ASP.NET в качестве поставщика услуг. Когда SPS запрашивает ADFS со стандартом WS-Federation (используется WIF), он позволяет мне автоматически войти в систему ADFS без всплывающего окна входа в систему, даже если начался новый сеанс, так что токен Kerberos выполняет свою работу так, как ожидалось. Однако в случае использования SAML 2.0 (ComponentSpace.SAML.2 lib) каждый раз, когда я открываю IE9 и перенаправляюсь в ADFS, меня просят ввести учетные данные домена Windows в стандартном маленьком всплывающем окне входа. Является ли какой-либо параметр SAML 2.0 или другой способ, позволяющий мне избавиться от этого окна, как в случае с WS-Fed? БлагодаряПрозрачный SSO с SAML (аутентификация IE, SAML 2.0, ADFS, Kerberos)
ответ
adfsserver.us.mycompanyname.com/adfs/ls находится в зоне Интернета, и автоматический вход в систему не произойдет.
adfsserver/adfs/ls находится в вашей зоне Intranet в IE и будет автоматически регистрироваться.
Вы можете добавить имя пользователя adfsserver.us.mycompanyname.com в список сайтов доверенных (или интрасети), и вам не следует запрашивать учетные данные.
Try: urn:federation:authentication:windows
вместо: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
в этой части запроса аутентификации 2,0 SAML:
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:authentication:windows</saml:AuthnContextClassRef>
К сожалению, я не могу найти способ сделать это с помощью Component Space SAML v.2. Существует объект AuthnRequest, который используется для формирования запроса на аутентификацию SAML 2.0, но в этом нет ссылки на этот класс проверки подлинности. – YMC
Это не ответ, это достаточно обновить мой вопрос, но это важно, и я решил чтобы дать ему ответ, чтобы привлечь к нему больше внимания. То, что я выяснил, играя с параметрами SAML в течение нескольких дней, состоит в том, что он не зависит от протокола (WS-Federation/SAML2). На самом деле это зависит от длинного/короткого имени домена сервера adfs, поэтому запрос на аутентификацию, такой как https://adfsserver.us.mycompanyname.com/adfs/ls, отображает это окно, а https://adfsserver/adfs/ls - нет. Однако я не могу использовать короткое доменное имя для SAML 2.0, я получаю ошибку в этом случае: «MSIS1006: настроенная пассивная конечная точка https://adfsserver.us.mycompanyname.com/adfs/ls/» не является префиксом входящего сообщения SAML Destination URI 'https: // adfsserver/adfs/ls /' ". Кстати, мы используем SSO только в нашей локальной интрасети, поэтому я не знаю, почему это исключение происходит. Любое обходное решение?
Вы можете изменить пассивный сервер конечных точек следующих шагов, указанных ниже:
http://breakingdevelopment.blogspot.in/2012/12/adfs-msis1006-i-am-working-on-sso.html
- Открыть ADFS 2.0 Service Manager
- Выбрать "Редактировать Свойства службы федерации ..." в верхнем правом углу. Это вызовет окно свойств службы федерации
- Измените идентификатор службы федерации в соответствии с URL-адресом поставщика удостоверений (IdPURL), переданным из вашего приложения единого входа.
- 1. Настройка SSO с использованием ADFS 2.0, SAML 2.0 и simpleSAMLphp
- 2. Java-приложение с SSO (SAML) и ADFS
- 3. Spring SAML и ADFS 2.0
- 4. SSO с SAML 2.0 для подстановочного домена
- 5. Ошибка Adfs Saml с помощью Passport-saml
- 6. SAML 2 Ошибка регистрации в ADFS 2.0
- 7. SP Инициированный SSO - ADFS 2.0
- 8. ADFS 2.0 IDP-Initiated SSO
- 9. Проблема с SSO между SAML SP и ADFS IdP
- 10. OKTA Saml 2.0 конфигурации
- 11. Аутентификация SAML для SharePoint 2010
- 12. SAML с .NET 2.0
- 13. SSO с SAML с Laravel
- 14. Требования SAML 2.0 не проходят через ADFS
- 15. Внедрение SAML 2.0 SSO разных Idps
- 16. Как генерировать метаданные службы saml 2.0 sso
- 17. Http post SAML request ADFS
- 18. SAML 2.0: Запрошен против Unsolicited SSO
- 19. SSO SAML 2.0 - EntityDescriptor возвращает null
- 20. SAML 2.0 SSO для Ruby on Rails?
- 21. Аутентификация ADFS/SAML для приложения для рабочего стола Java
- 22. Аутентификация форм и аутентификация федерации (Single Sign On + ADFS 2.0 + SAML) на одном веб-сайте ASP.NET
- 23. Аутентификация SAML от SP
- 24. Spring SAML ADFS: java.security.InvalidKeyException
- 25. Требуется помощь с SAML 2.0 и ADFS 2.0!
- 26. Информация о SAML 2.0
- 27. Проблема Microsoft ADFS IDP SAML
- 28. Выход ADSL 2.0 SAML
- 29. Как SAML решает SSO?
- 30. Как реализовать SAML SSO
Что обеспечивает поддержку SAML в вашем RP? Вы используете WIF или что? – nzpcmad
Библиотека ComponentSpace.SAML.2 используется для перенаправления пользователя в ADFS 2.0, так же, как это делается в образцах, предоставляемых библиотекой. Протокол POST – YMC