ADFS依赖方 – 端点configuration

我正在使用两台在AD FSconfiguration中合作的Windows Server（虚拟）机器来设置实验室环境。

高级架构概述

WIN-TORHJGJ7N ：运行AD FS 2.0的Windows Server 2012。也是域控制器。
ADFSSERVERPROXY ：尽pipe它的名字，并没有真正成为代理（还）。最重要的是，它包含一个在https://adfstest.sub.domain.com/运行的Web应用程序 。它使用AD FS Windows基于令牌的代理进行保护，如下图所示。 Web应用程序是一个简单的“你好世界”程序，所以没有任何validation逻辑。

在这里输入图像说明

在我的第一台机器上，我想configuration我的依赖方信任，但是我在configuration我的端点时遇到了问题。我尝试http://sts1.sub.domain.com/adfs/ls/和其他变化，但真的我不知道什么是打算去那里。这是一个任意值，还是需要指向一个特定的位置？如果它指向我的Web应用程序，是否需要在应用程序中实现身份validation逻辑？

依赖方信任端点

因此，简而言之： 在这个设置中，依赖方的信任终点是什么？

编辑：
我将端点指向应用程序端（ https://adfstest.sub.domain.com/ ）上的任意url时出现的错误之一是：

AD FS Web代理为Windows NT基于令牌的应用程序遇到一个严重错误。客户提交的cookies不能被validation。

这种情况发生在客户呈现格式不正确的Cookie时。如果客户端是已知的有效用户，则此错误可能是由暂时性问题引起的。例如，信任属性（例如证书）最近可能已更改，或者authentication机构可能无法提供撤销状态。

用户操作在安全日志中查找可能包含更多详细信息的其他事件。如果审计尚未启用，请考虑在此Web服务器上启用故障审计。

这个实验只是为了你的学习，还是为了稍后在生产中使用的一些概念certificate？

您试图实施的基于代理的代理方法是2003 R2中引入的老派方法。你确定你需要这样做生产吗？

目前联合应用程序的方式是使用WIF。有关使用最新WIF版本的示例，请参阅http://msdn.microsoft.com/zh-cn/library/hh987037(v=vs.110).aspx 。

在那个示例中replace引用

http://localhost:13922/wsFederationSTS/Issue http://sts1.sub.domain.com/adfs/ls/和
http://localhost:28503/与http://adfstest.sub.domain.com/和
在AD FS上运行get-adfscertificate cmdlet时，您的AD FS令牌签名证书散列为1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ1234

另见http://www.cloudidentity.com/blog/2014/02/12/use-the-on-premises-organizational-authentication-option-adfs-with-asp-net-in-visual-studio-2013/以及结束使用WIF和AD FS的示例。该文章显示了Windows Server 2012 R2中的AD FS正在使用，但在此处完全适用。