服务器 Gind.cn
  1. 服务器 Gind.cn
  3. ADFS 2.0:作为声明发送用户证书的颁发者
Intereting Posts
在Windows Server 2003上设置亲和力 系统pipe理新手 当Mac Pro进入睡眠状态时,10秒的局域网连接中断可能的解释是什么? 安全的.svn文件夹 sccm使用msiexec / x卸载teamviewer bash中有很多“STOPPED”消息是什么意思? 如何根据需要镜像MySQL数据库? CentOS服务器没有响应 在密封的房间里重新启动ML350 G4服务器 从一个门户网站需要SSO,RMM w / Mac客户端GPpipe理(打印机等) embedded式设备的IPv6testing Nginx将根转发给一个地址,其余的转发给其他地址 conntrack删除不会停止大文件的runnig副本 如何取消提交以前提交的Perforce更改列表? 如何启用winrm协商身份validation

ADFS 2.0:作为声明发送用户证书的颁发者

如果用户使用x509证书进行身份validation,则使用ADFS 2.0,我想向依赖方发送关于用户证书颁发者的信息。

这可能吗? 我应该如何configuration声明描述和声明规则?

AFAIK这是不可能的,因为写这个答复。

如果按照http://msdn.microsoft.com/en-us/library/ee895365.aspx使用TLS客户机处理程序,则您将能够发出http://schemas.microsoft.com/ws/2008/06 / identity / claims / authenticationmethod声明http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient如果使用证书login到AD FS。

如果您select使用身份validation机制保证,并且用户使用适当映射到组的一个智能卡login到他们的PC,那么您的Kerberos TGT将在PAC中拥有组SID。 因此,即使使用基于Kerberos的令牌访问AD FS服务器,它也能够检查令牌中的所述组SID。 这意味着您可以发出声明以确保发生相关的智能卡login。

请注意在上述情况下AD FS未configuration为TLSClient处理程序。 如果您通过AD FS代理远程访问AD FS(而不是从企业内部和不使用Kerberos),则无法保证此身份validation机制的保证。 因此,只有在authentication机制保证按预期工作的情况下,您才可以configuration某些依赖方只能访问。