注意 – 我已经解决了这个问题,但是在这个问题上我没有看到有关网上的详细介绍,所以我会自己去提问和回答。 我运行了一个authentication为SMTPRelayUser的服务,该服务在95%的时间内启动了失败的ADFS身份validation。 令人费解的是,这个用户偶尔会成功validation并发送所有排队的邮件。 在ADFS事件查看器日志中,我看到两个错误 – 事件300和事件413.事件ID 300没有提供有用的信息,但413通知我一个奇怪的例外。 Microsoft.IdentityServer.Service.AccountPolicy.ADAccountLookupException: Exception of type 'Microsoft.IdentityServer.Service.AccountPolicy.ADAccountLookupException' was thrown. 这是怎么回事?
我们正在服务器2012 R2上部署ADFS。 Microsoftbuild议至less2台ADFS服务器和2台在DMZ中运行Web应用程序代理angular色的服务器。 我的问题是:我们已经在运行mod_balancer的DMZ中安装了2个Apache反向代理服务器。 除了失去进行预authentication的能力之外。 是什么原因使用微软的Web应用程序代理服务器VS Apache? 我们没有硬件负载平衡器。 谢谢! 编辑: 换一种说法。 使用NLB和ADFS服务器场,使用冗余Apache reverse_proxies(VRRP)+ mod_reverse_balancer来平衡ADFS服务器场与Windows应用代理服务器之间的负载有什么影响?
有没有办法创build一个声明,将返回所有组和超级用户组是一个用户是一个MemberOf的DN? 目前运行Windows 2012 R2 ADFS。 例: 我有一个像下面这样的组织结构。 GrandparentGroup ParentGroupA (memberOf=GrandparentGroup) ParentGroupB (memberOf=GrandparentGroup) GroupA (memberOf=ParentGroupA) GroupB (memberOf=ParentGroupA) GroupC (memberOf=ParentGroupB) GroupD (memberOf=ParentGroupB) UserA (memberOf=GroupA) UserB (memberOf=GroupA, memberOf=GroupB) 我想在UserAlogin时返回GroupA,ParentGroupA和GrandparentGroup的全DN。 如果build立一个索赔是不可能的,还有其他的是与ADFS处理这种情况?
我试图创build一个.NET网站的开发环境,但我坚持一点。 网站的身份validation将通过ADFS进行,我们拥有的开发机器是Windows 7机器。 该网站因此运行在Windows 7下的IIS上,但是我无法find有关如何在Win 7计算机上安装声明感知代理的信息(迄今为止我只能findServer 2008的信息)。 任何有关如何获得在Win7机器上运行的ADFS声明感知网站的build议将不胜感激。
我正在尝试在实验室中设置ADFS服务器来testing联合身份validation机制。 我遵循这个指南: http : //www.syfuhs.net/post/2010/08/13/Installing-ADFS-2-and-Federating-an-Application.aspx直到他们创build网站的部分, 当然。 testing网站只是一个文件 – >新的proyect-> mvc5与组织帐户,正如官方文档状态应该是: http : //www.asp.net/visual-studio/overview/2013/creating-web -projects,在视觉工作室#orgauthonprem 当我尝试用azure广告设置这个设置时,没有问题,并且工作得很好,但是用我的ADFS,我得到了一个302find的redirect循环( 截图 ) 据我所知(这是非常有限的),一切都在ADFS上正确configuration,并不知道如何开始排除故障。 我search谷歌,并没有回应,也有一个并行的stackoverflow问题,但我想也许IT专家可以给我更多的关于这个问题的光。 任何帮助将不胜感激。 编辑1 :试图展示最小的理解,在这里,我们去。 我在Windows Server 2012上使用ADFS V2.1 我做了什么:我试着将RP端点设置为Ws-Federation(假设新的MVC5模板使用该技术),将Url指向我的站点。 这对观察到的行为没有影响。 尝试使用无效的凭据,与预期的行为:一次又一次地要求凭据,直到返回403。 设置Azure AD只是为了testingMVC5configuration,使用相同的代码,只是改变端点url。 观察到的行为:它没有问题。 在回复中提出的补丁不适用于ADFS 2.1(是的,我忘了提及细节> _ <)
作为实施SharePoint 2013安装的一部分,我已在Windows Server 2012 R2上使用ADFSconfiguration了SSO。 有两个独立的AD森林,一个是托pipeSharePoint / ADFS的一部分,另一个是现场公司林。 目前,我已经在SharePoint ADFS中将公司AD设置为Claims Provider Trust 。 我能够成功通过从公司AD到SharePoint的电子邮件属性。 我想实现的是从Hosted AD Forest索赔的一些forms,作为loginCorporate AD账户的一部分。 具体而言,用户将成为安全组的成员,以确定SharePoint许可。 出于安全原因,我不希望从Corporate AD获得此声明信息,因为这意味着用户将能够更改其许可状态。 所以,所有用户在两个森林中实际上都会有一个AD帐户。 单点login通过在login过程中input其公司凭据来提供。 有什么方法可以告诉我的hosted ADFS在自己的AD林中查找与来自Corporate ADFS的incoming Email Address Claim相匹配的用户,然后从所hosted forest向所述电子邮件声明注入Role claim声明? 请参阅下面的图片,我想实现(对不起,快速MS Paint绘图!): 我如何实现步骤4和5? 现行索赔规则 在Hosted ADFS , Corporate Claim Provider Trust Acceptance Transform Rules : 通过传入的电子邮件地址声明,通过所有值 在Hosted ADFS , SharePoint Relying Party Issuance Transform […]
我有一个AD FS索赔提供商和一个Shibboleth SP成功进行身份validation。 当我login到受Shibboleth保护的网站时,索引显示了所有的标题。 我按照预期收到了UPN,但是我无法获得像surname或sAMAccountName这样的其他属性。 我目前有3个索赔规则: 规则1: 规则2: 规则3: 从Shibboleth SP计算机上的日志看来,sn不会作为OID属性发送。 如果我编辑attribute-map.xml并删除对eppn的引用,那么我在shibd日志中得到以下内容: 2015-06-23 11:29:08 INFO Shibboleth.AttributeExtractor.XML [1]: skipping unmapped SAML 2.0 Attribute with Name: urn:oid:1.3.6.1.4.1.5923.1.1.1.6 在shibd日志里没有提到类似于上面关于姓氏或sn的输出,这使我相信“变换SN”规则写得不正确。 更新信息: 我可以通过改变规则1从手动inputsn到select下拉选项surname从而得到姓氏的工作。 我需要做些什么来获得其他广告领域没有下拉select工作? 我正在添加诸如streetAddress字段。 对于规则1,我手动input了LDAP属性和传出声明types的streetaddress。 然后我添加了一个额外的规则: c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/streetaddress"] => issue(Type = "urn:oid:2.5.4.232", Value = c.Value, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri"); 我不知道http://schemas.xmlsoap.org/ws/2005/05/identity/claims/streetaddress是否正确,但值不是映射。 如何获取无法从下拉列表中select的LDAP属性? 编辑2: 我忘了添加select查看规则语言的结果(按照Matthieu的要求): c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD […]
我们有一个ADFS 2.0实例设置。 我们将其用于第三方networking应用程序单点login。 一切都与现有的应用程序,包括SAML 2.0的应用程序,包括IWA传递,当用户被redirect到我们的ADFS服务器时,美妙地运作。 我刚刚使用SAML 2.0为另一个应用程序App2configuration了第二个依赖方信任。 我们正在使用所有默认的ADFS设置,包括端点。 在这个应用程序的SAMLconfiguration页面上,我已经告诉它我们的SAML端点是“ https://adfs.mydomain.com/adfs/ls/ ”。 一切工作正常,除了用户提示input凭据; ADFS不使用IWA进行这些login。 我正在使用IE9从本地域join的工作站进行testing。 内部DNS指向我们的本地域join的ADFS服务器,外部DNS指向我们的DMZ ADFS代理。 “* .mydomain.com”位于GPO的IE的“受信任的站点”区域中,并被应用。 IWA在IE中启用。 每当我closures它时,IE会清除它的caching/ cookies /历史logging。 这两个应用程序都使用SP启动的login,并将其断言发送到我们末端的相同端点URL。 如果我尝试在干净的会话上login到App2,则会显示一个ADFSlogin页面。 如果我input凭据,我login到应用程序,可以继续。 如果我尝试在干净的会话上login到App1,我立即redirect到ADFS,IWA通过,并且login到应用程序并继续。 如果我在login到App1后尝试在同一个会话中login到App2,则我被redirect到ADFS,使用由App1发起的现有ADFSlogin会话,然后立即redirect到App2的断言使用者服务URL并给出一个错误页面。 我最好的猜测是我在RPTconfiguration中缺less一些东西。 SP给我的所有信息都是使用POST绑定的消费者服务端点URL。 我不得不猜测索赔规则。 SP不使用encryption。 App2客户服务一直很困难。 他们的技术支持是海外的,所以我只能在当地时间的午夜时分接受一次回应。 他们的大部分回复都是标准的“从KB复制和粘贴”。 他们更喜欢IdP发起的login,但是说他们支持SP启动 – 这似乎是真实的,因为SSO在login到ADFSlogin页面之后在干净的会话上工作。 有人知道我错过了什么吗?
我正在尝试使用通过ADFS SAML / Kerberos端点和使用Shibboleth的Apache应用程序隧道化的Active Directory来configurationGoogle Chrome(和Firefox)进行身份validation。 这里有一些设置,我在每台机器内。 Active Directory设置:我正在使用configuration了Kerberos DES Encryption的Active Directory用户帐户,并且在Windows Server 2012 R2中也具有Kerberos预validation。 IE设置: Internet和可信站点的IE安全设置将用户身份validation设置为“使用当前用户名和密码自动login”(自动loginWindows当前用户)。 ADFS和Apache应用程序的域添加到允许的站点中。 Windows Server 2012 r2 ADFS设置: Windows Server 2012 r2使用ADFSconfiguration,且启用了SAML和Kerberos端点。 Shibboleth SP设置: Shibboleth SP运行在Apache中,并被configuration为使用SAML。 什么是成功的发生: Windows用户帐户可以成功login到任何Windows 7操作系统及以上使用IE9和最新。 Windows用户login到Apache应用程序后没有任何提示。 Windows用户立即转到配有Shibboleth SP的Apache应用程序。 怎么了? 无论何时我使用Google Chrome或Firefox,都不会立即转到安全的应用程序内容页面。 相反,它将Windows用户连接到ADFSlogin屏幕,并且login失败(因为它似乎使用Active Directory中的Kerberos设置,ADFS在login屏幕上不使用)。 目标:假设Google Chrome采用Internet Explorer的安全设置进行使用,login到Apache应用程序应该没有麻烦。 那么,如何正确configurationGoogle Chrome(或其他configuration)以允许Windows用户自动loginApache应用程序呢? 更新 错误我从Apache应用程序中得到以下错误: openSAML::FatalProfileException at (https://c-app01.contoso.com/Shibboleth.sso/SAML2/POST) SAML response reported […]
我们公司是一个全职部署Windows Active Directory的Windows商店。 我们有Windows 7和Windows 10机器的组合。 当我在公司networking内部时,我了解Linux机器的身份validation。 我不知道如何通过互联网进行身份validation。 当我login到我的Windows机器上,例如启动后,在login屏幕上,当我inputAD用户ID和密码时,发生什么步骤,有人可以通过互联网了解身份validation是如何发生的。 另外,如果涉及到ADFS,是否有办法知道所涉及的服务器,以便我可以configuration我的Linux机器? PS:我很确定我们不做VPNlogin。