是否有可能运行ADFS 2.0而不连接服务器到域? 我们使用Shibboleth作为声明提供者,所以我们实际上不需要在这里的活动目录。 我们设法设置ADFS(AdfsSetup.exe / quiet)并且configuration它没有任何问题。 然而在启动时并不是所有的端点都启动。 特别是端点net.tcp://localhost:1501/adfs/services/trusttcp/windows缺less,导致在validationSharePoint时出现以下错误: Encountered error during federation passive request. Additional Data Exception details: Microsoft.IdentityServer.Web.RequestFailedException: MSIS7012: An error occurred while processing the request. Contact your administrator for details. —> Microsoft.IdentityServer.Protocols.WSTrust.StsConnectionException: MSIS7004: An exception occurred while connecting to the federation service. The service endpoint URL 'net.tcp://localhost:1501/adfs/services/trusttcp/windows' may be incorrect or the service […]
在我们的开发环境中,我们在ADFS 2.0中configuration的依赖方遇到问题,这让我感到困惑。 这就好像有一个标识符黑名单一样。 我们现在有3个开发者正在开发这个function(在Win2kR2 for ADFS,Win7 Pro / VS2010 / MVC2 / C#for devs上的新configuration)。 ADFS在Domain2而所有的开发盒在Domain1 。 Domain2信任Domain1但不是相反的(不是这个问题)。 我创build了3个信任,每个开发人员一个。 每个开发人员的信任端点和标识符都是相同的( https://DevBoxFQDN/AppName/ )。 最初设置时,我只是使用DevA作为testing案例,直到我开始工作。 一旦DevA ,我就添加了DevB但是通过将DevB's标识符添加到DevA RP DevB's了不正确的DevA 。 最终的结果是,当你试图在DevB's web应用上进行身份validation时,redirect到应用程序,它到了DevA's盒子。 混淆了configuration,但是我会称这是DevB框的成功testing案例。 一旦我意识到这一点,我从DevA RP中删除了DevB's标识符,并创build了DevB和DevC RP(针对端点和标识符指向https://DevB.FQDN/AppName/和https://DevC.FQDN/AppName/ )。 在这一点上,奇怪的事情发生了。 这适用于DevC ,就像DevA 。 但是, DevB获取事件ID 184/364,指示DevB标识符不正确。 大量的debugging和search可能的问题导致没有用。 作为一个盲目的刺,我们简单地在DevB框上为https://DevB.FQDN/AppName2/创build一个新的虚拟目录(我们简单地在虚拟目录/应用程序名的末尾添加了一个2 ,指向相同的位置作为另一个,并具有相同的设置),并对应用程序的web.config文件进行了相同的更改。 在ADFS中,我编辑了端点和标识符以添加2 。 这种变化和这种变化本身会导致DevB正常工作。 所以这个洞察力大部分的可能性,我们怀疑不适用于我们(防火墙,搞砸证书/ SPNs等),论坛post留给我们。 如果我们改回来删除2 ,那么它又会破坏。 没有其他变化! 为了彻底,我们将DevB机器恢复为基于映像的备份,从“正常工作”的时间开始,但在DevA RP之下 – […]
当用户不在Active Directory中时,我遇到了从Outlook客户端loginCRM的挑战。 我们的一些CRM用户没有Active Directory凭据。 而是使用LDAP凭证login到IBM Websphere环境。 我们已经为IFDconfiguration了CRM,并且已经部署了Shibboleth Idp作为这些用户的ADFS / CRM的身份提供者。 Web单点login(被动联合)到这些用户的CRM完美的作品。 但是,CRM客户端使用ws-trust(主动联合)进行身份validation,而不是像浏览器那样使用被动联合。 不幸的是,Shibboleth Idp不支持ws-trust,所以我需要一个不同的ws-trust安全令牌服务(STS)来使我们的LDAP用户能够使用Outlook客户端。 我已经testing了一些不同的ws-trust STS服务器(OpenAM,Thinktecture Identity Server V2.0),但无济于事。 围绕基于声明的CRM身份validation的所有文档似乎围绕Web单一login,并没有解决与Outlook客户端的活动联合。 我已成功收集此问题的唯一信息是在HKLM \ SOFTWARE \ Policies \ Microsof \ MSCRMClient项中指定HomeRealmUrlregistry设置。 大多数提到这个的博客/论坛似乎指的是从Active Directory前面的另一个ADFS服务器指定活动联合端点。 我没有发现似乎已经整合了非ADFS的ws-trust STS。 我已经尝试指定HomeRealmUrl值,但没有任何文档对于Outlook客户端从STS期望的绑定types,它被击中和错过。 是否有人成功部署了CRM IFD,其中来自非活动目录ADFS声明提供程序的用户可以login到CRM Outlook客户端? 如果是这样: 您使用了哪个STS,或者您自己创build了哪个STS? 你用什么绑定STS? 除了将STS注册为声明提供程序之外,是否还需要任何特殊的ADFSconfiguration? 问候,克里斯
如何在我的ADFS 2.0服务器上为我的被动联合configuration其他Saml2SecurityTokenHandler(Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenHandler)类? 现在:我正在尝试以下configuration: <configuration> <configSections> <section name="microsoft.identityModel" type="Microsoft.IdentityModel.Configuration.MicrosoftIdentityModelSection, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> … </configSections> <microsoft.identityModel> <service> <securityTokenHandlers> <remove type="Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> <remove type="Microsoft.IdentityModel.Tokens.Saml11.Saml11SecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> <add type="ClassLibrary1.Class1, ClassLibrary1" /> </securityTokenHandlers> </service> </microsoft.identityModel> … </configuration> 删除<remove>元素导致ADFS 2.0 Windows服务启动时出现exception(已添加具有相同键的项目),所以我们确信我们的configuration已成功加载。 但是当使用被动联合时,我们看到仍然使用默认的MSISSaml2TokenHandler: System.IdentityModel.Tokens.SecurityTokenException:MSIS3120:SubjectConfirmationData收件人错误。 期待“ https://secure.mydomain.com/adfs/ls/ ”,但收到:“ https://secure.proxy.mydomain.com/adfs/ls/ ”。 在Microsoft.IdentityServer.Service.Tokens.MSISSaml2TokenHandler .ValidateConfirmationData(Saml2SubjectConfirmationData confirmationData) 当阅读msdn文档( http://msdn.microsoft.com/en-us/library/gg638730.aspx )时,它似乎被configuration为应该。 不带名称的<service>元素是默认configuration,将用于被动联合scheme。 […]
在我们的主站点,我们运行的是2012R2(林/域)function级别,我们目前已经使用ADFS和目录同步的交换混合configuration将我们的邮箱迁移到Office 365。 实际上,我们正计划在运行2008R2的服务器上部署远程站点的RODC。 这迫使我们将ADfunction级别回滚到2008R2。 您是否认为如果这样做会导致Office365 / ADFS / DirSync出现问题,而在ADFS中丢失Workplace Join?
假设我们有两个域:contoso.com和fabrikam.com。 都有: 两个UPN(.local和.com) 然后: Contoso.com具有本地Lync服务器。 Office 365上的Exchange,Sharepoint 2013和Azure AD(E1许可)。 Fabrikam.com拥有AD和Exchange 2010 SP3和Sharepoint 2010内部部署。 Office365上的Lync,同步login通过DirSync和由AD FS(E2 lincensing)处理的身份validation。 根据优先顺序排列的短期目标是: 处理GAL同步, 共享日历(包括忙/闲)。 访问Sharepoint的彼此 长期目标是废除并删除Fabrikam.com。 问题是: 没有森林的信任,这个任务是不可能的? 如何处理短期目标而不会使长期目标复杂化? 如何使用混合部署进行testing? 谢谢
对不起,如果这是一个没有教养的问题,但我在这里有点绝望。 在工作中,我们有一些客户仍然使用2.0之前的ADFS版本,这些版本是SAML2的路线,我试图用这些版本作为身份提供者来创build对WebSSO的支持。 我已经支持ADFS 2.0+,Shibboleth和Okta。 我正在针对“adatum”帐户服务器进行testing,因为我一直在按照Microsoft的分步指南来获取可testing的工作设置。 到目前为止,我已经设法请求并接收ADFS在用户通过身份validation时在我的login端点提供的RequestSecurityTokenResponse有效内容,但是我不知道如何获取基本信息,例如电子邮件包括它的名字和姓氏。 我唯一一次设法根据attributeStatement语句发送任何东西的时候,是映射在指南中创build的两个“Trey * AppUsers”组中的一个。 启用身份声明E-mail或Common Name也不会添加任何内容。 我试过 创build一个新的自定义Organization Claim 从AD Account Store为它创build一个Custom Claim Extraction 将其设置为使用应该在那里的LDAP属性(我已经尝试了sAMAccountName , givenName和displayName ) 为我为SP创build的Resource Partner创build一个新的Outgoing Custom Claim Mapping ,但是我仍然没有得到任何东西… 我不知道为什么,谷歌search这些版本的ADFS的帮助是非常困难的,事实上,我不习惯Windows,我绝对不是一个系统pipe理员:D 假设这是一个值得回答的问题,有人能给我几个提示,指出我(显然)在这方面相当迟钝吗? 谢谢 :) 丹尼尔
非常简单的安装2 adfs BE服务器和一个代理。 应用程序名称https://adfsapps.abc.local/ADFSApp1/ (基本声明感知应用程序)。 STS的url是STS2.abc.local。 如果应用程序被发布为Pass-Thru,它可以正常工作。但是,如果使用Pre-Authentication,那么会得到错误511, 由于联合身份validation服务configuration无效,因此不允许传入login请求。 请求url:/adfs/ls?version=1.0&action=signin&realm=urn'%'3AAppProxy'%'3Acom&appRealm=39015c2f-5b7e-e511-80be-00155d1b2104&returnUrl=https'%'3A'%'2F'%'2Fadfsapps.abc 。本地 '%' 2FADFSApp1 '%' 2F&客户请求-ID = 356DDEB4-1336-0000-1EE6-6D353613D101 用户操作:检查联合身份validation服务configuration并采取以下操作:确认login请求具有所有必需的参数并且格式正确。 validationWeb应用程序代理依赖方信任是否存在,是否已启用,并且具有与login请求参数相匹配的标识符。 validation目标依赖方信任对象是否存在,是否通过Web应用程序代理发布,并具有与login请求参数相匹配的标识符。 AND错误364 – 联合被动请求期间遇到错误。 其他数据协议名称:依赖方:exception详细信息:Microsoft.IdentityServer.Web.InvalidRequestException:MSIS7009:请求格式不正确或无效。 详情请联系您的pipe理员。 (Microsoft.IdentityServer.Web.PassiveProtocolListener.GetProtocolHandler(Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.CreateProtocolContext WrappedHttpListenerRequest请求,ProtocolContext&protocolContext,PassiveProtocolHandler&protocolHandler)在Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext上下文) 事件在BE服务器上生成。 任何帮助将不胜感激。
我读过IFD Dynamics部署的最佳做法是使用ADFS2.0并使用通配符SSL证书进行locking。 我想用于Dynamics部署的域名与我的Active Directory林不一样。 我希望Dynamics能够使用我的公司.com地址,而不是使用Active Directory的.net。 这可能吗?
联合尝试使用Office 365时,ADFS 2.0会在其SAML断言中声明不可变的ID值。 ImmutableId在Office 365中的对象创build时指定。如果使用DirSync,则使用objectGUID。 如果您希望将多个AD森林合并到一个O365实例中,则DirSync不是真正的选项。 所以,如果你可以让你的用户进入O365,并设置一个适当的UPN和ImmutableId,ADFS会很快乐吗? 在创build用户时,应该传递什么格式的objectGUID值(非string值,八位字节/二进制文件,无论你想调用它)? – 基于string的GUID表示 – Base64编码的二进制值 在我的情况下,很简单,我只需要知道ADFS在其基本或默认configuration中对此支持的使用情况。