在Saleforce中 – ADFS SSO,AD是IdP。 AD'用户名'是SAML用户标识; Salesforce中有两种types的用户(标准用户和门户用户)。 对于门户用户的SSO; SAML断言必须包含两个以上的参数(硬编码值)。 对于标准用户的SSO; SAML断言不能包含这些参数。 AD中可以实现以下解决scheme吗? “在用户对象上创build一个新的字段,如果它包含一定的值,则传递参数,如果没有值,则不传递参数。 要么 两个单独的SSO(每种types的用户一个)必须使用相同的SP进行设置。 在ADFS方面是否可以实际设置两个具有相同SP的SSO? 注意: – 完全不知道广告,如果问题没有意义,请指出; 将尝试重新措辞。
有人可以帮助我与ADFS? 这是我第一次使用它,因为我设置了Microsoft Dynamics。 我收到以下错误信息: Encountered error during federation passive request. Additional Data Protocol Name: wsfed Relying Party: https://dynamics01.starlighthosting.net:5555/ Exception details: Microsoft.IdentityServer.RequestFailedException: MSIS7012: An error occurred while processing the request. Contact your administrator for details. —> Microsoft.IdentityServer.Service.SecurityTokenService.ADAccountValidationException: MSIS3173: Active Directory account validation failed. —> Microsoft.IdentityServer.ClaimsPolicy.Engine.AttributeStore.Ldap.AttributeStoreDSGetDCFailedException: Exception of type 'Microsoft.IdentityServer.ClaimsPolicy.Engine.AttributeStore.Ldap.AttributeStoreDSGetDCFailedException' was thrown. at Microsoft.IdentityServer.ClaimsPolicy.Engine.AttributeStore.Ldap.EnterpriseLdapAttributeStore.GetLdapAttributeStoreForDomain(String domainFlatName) at Microsoft.IdentityServer.ClaimsPolicy.Engine.AttributeStore.Ldap.EnterpriseLdapAttributeStore.ReaderFactory(String […]
我有一个AD FS索赔提供商和一个Shibboleth SP成功进行身份validation。 我正在尝试将Active Directory属性发送给SP。 我按照这篇文章尝试发送声明: https : //technet.microsoft.com/en-us/library/gg317734(v=ws.10).aspx 相关部分是Step 2: Configure AD FS 2.0 as the Identity Provider and Shibboleth as the Relying Party – > Configure AD FS 2.0 – > Edit Claim Rules for Relying Party Trust – > To configure eduPerson claims for sending to a relying party trust : 在步骤16中,它声明我应该粘贴或input以下内容(并在2个代码块中): […]
我正在寻找将ADFS作为SAML2服务提供商的IDP进行集成的方法。 我已经使用validation证书等configuration了SAML2提供程序。我们使用“添加依赖方信任向导”来configurationADFS以及SAML2 SP的详细信息。 但是我不确定这里的工作stream程的其他部分。 感谢有人能指导我一篇好文章。
我还没有完全掌握ADFS 2.0 / 3.0的依赖方令牌签名证书的function。 一旦发生自动自签名证书转换(默认情况下),有些情况下您必须手动将新的令牌签名证书(通常是)外部SSO应用程序提供者交付给他们,以便将新证书他们的结局,所以SSO将继续运作。 但是,这可能会自动发生。 我发现最好的解释是http://blog.kloud.com.au/2013/07/17/ad-fs-and-self-signed-token-signing-certificates-3/ : [ADFS] …可以在到期前自动更新自签名证书,并且如果为自动联合元数据更新configuration了依赖方信任 ,则自动向依赖方提供新的公钥。 这种自动化使弹性的,低维护的联合服务成为可能,因为服务使用的密钥证书不需要定期关注。 问题是; 我如何知道是否为自动联合元数据更新configuration了信任方信任? 这是简单的,只是在信任这个设置(感谢谷歌图片search): https://syfuhs.blob.core.windows.net/images/WindowsLiveWriter/5faa9c1bc727_ECC4/image_58.png 如果是这样,我怎样才能确保更新成功(除了可能的最后检查date),依赖方已经自动获得新的证书或公钥?
尝试在ADFS身份validation时获取用户的所有组和嵌套组 基本上我有这样的结构 group1 – > subgroup1,subgroup2 group2 – > subgroup3,subgroup2 group3 – > subgroup1,subgroup4 如果我将Group1和Group3添加到我的用户,我想回来 1组 subgroup1 subgroup2 组3 subgroup4 我有这个查询 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/role"), query = ";tokenGroups;{0}", param = c.Value); 但它只返回group1,group3
想知道ADFS 2.0是否可以安装在Windows Server 2012上? 下面的链接说,它可以安装,并给出命令来安装,但该命令失败抛出错误'广告联合服务'是一个无效的angular色。 http://blog.msgeneral.nl/2012/11/installing-and-configuring-adfs-on.html#comment-form 我也尝试使用另一个链接中提供的命令进行安装,其中提到了有关安装ADFS 2.1的信息。 但它安装了ADFS 3.0。 http://www.flexecom.com/install-adfs-2-1-on-windows-server-2012-for-office-365-part-1/ 我正在validation使用下面的链接安装的ADFS的版本,我找不到FSConfig.exe文件。 “jorgequestforknowledge.wordpress.com/2014/02/23/gathering-architectural-details-from-your-adfs-infrastructure-adfs-version/” 默认情况下,Windows Server 2012上是否安装了ADFS 2.1,Windows Server 2012 R2上是否安装了ADFS 3.0? 请告诉我。 谢谢
目前,我正在与ADFS一起在两个分离的域之间build立联合信任。 我的问题很简单: ADFS v。2.0是否支持跨联合身份提供者的传递式信任? 如果是这样,请参阅下面的问题。 (我不是在谈论AD森林信任,而是在联盟情况下使用纯ADFS 2.0的完全分离的域) 我知道ADFS v 1.0并不像第9页上的文档中所述的那样。但是,从ADFS 2.0的索赔规则来看,它似乎是可能的, 正如微软合作伙伴所证实的那样。 但是:关于这个主题的文档是一团糟! 根本没有关于这个话题的ADFS v.2.0相关的声明,我能够find( 如果你有任何关于这个问题的文档,请帮我一把! )。 为了更清楚,我们假设这种情况: Federation provider (A) trust federation provider (B) which trusts identity provider (C). So, does (A) trust identities comming from (C) across (B)? 在支持传递信任的情况下, 是否有可能以任何方式限制ADFS中的传递信任? 如果是这样,怎么样? (Powershell命令或ADFS GUI菜单条目在哪里可以find它) 可传递的信任如何影响索赔的发行人和原始伊索尔特性? 如果传递性信任和声明转换一起使用,提供者(B)会将(C)中的所有声明转换成相同types的(新)声明价值,那么这将如何影响发行人和原始伊索尔特性? 重要说明:无论是否支持,我都需要一些官方消息来源。 但是,如果没有其他人能够提供他们,而且有人能够以他的经验来回答这些问题,那么即使没有官方消息来源,我也愿意为他们提供赏金。
我正在使用联合身份进行Office-365单一login。 我已将密码更改端点添加到我的ADFS 3.0服务器,并成功打开了adfs更新密码页面。 但是,每当我尝试更新密码,我得到上述错误。 我确定了以下内容: 1 – 我的密码太复杂了,包含大写字母,小数字和非字母数字字符 2我等了1个小时,因为我发现在ADSI编辑器中密码的最小年龄是1小时 我打开了组策略pipe理 – >展开我的域名 – >域控制器 – >默认域控制器策略 – >右键单击编辑 – >导航到密码策略。 我发现所有策略设置都设置为“未定义”。 我打开了我的ADFS服务器并打开了本地组策略编辑器 – >导航到密码策略,设置如下: 我确定我的密码符合这些设置: 启用此策略设置后,用户必须创build强密码才能满足以下最低要求: 密码不能包含超过两个连续字符的用户的帐户名称或部分用户的全名。 密码必须至less有六个字符的长度。 密码必须包含以下四个类别中的三个字符: 英文大写字母(A到Z)。 英文小写字母(a到z)。 非字母字符(例如,!,$,#,%)。 有什么可能是错误的,我不能通过ADFS密码更改页面更新密码?
我是一名开发人员,想了解使用ADFS(2012 R2)进行身份validation,所以我正在设置一个ADFS实验室。 我find了2个指南: doc1 – http://technet.microsoft.com/en-us/library/dn280939.aspx doc2 – http://blogs.technet.com/b/askpfeplat/archive/2013/12/09/how-to-build-your-adfs-lab-on-server-2012-part-1.aspx Doc1从创buildgSMA帐户开始,但是Doc2说:“ADFSconfiguration向导将自动在此服务帐户上configuration正确的服务主体名称(SPN),所以不用担心configurationSPN。 我应该走哪条路? 如果您认为我应该创buildgSMA账户,您能帮我了解我的实验室应该提供什么样的价值吗? 他们正在使用 New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com 我的服务器被称为server1.mydomain.local。 我的新gSMA命令应该是这样吗? New-ADServiceAccount FsGmsa -DNSHostName server1.mydomain.local -ServicePrincipalNames http/server1.mydomain.local 我具体询问“ServicePrincipalNames”属性,因为doc2说“确保服务器场中的任何ADFS服务器的物理计算机名称与ADFS服务名称不匹配”