除了ADFS网站之外,ADFS 2.0的安装程序adfssrv安装一个新的服务adfssrv 。 这项服务的目的是什么? 该文档不包含任何有关它的信息。
我们是一个在办公室里有22个人的小公司。 过去,我们在电子邮件方面遇到了很多问题,因此我决定改用Google Apps for Business。 这是我们的完美解决scheme,除了一件事情:我需要能够控制对邮箱的访问。 只有办公室内的用户,通过身份validation的用户或通过身份validation的用户才能连接到Gmail。 从我读过的内容可以使用Google提供的SSO(单点login)解决scheme – 但是我在查找一致的信息方面遇到了一些麻烦。 首先,我们的基础设施: Windows Server 2008 R2 活动目录,只有一个域。 Kerio控制的QoS和VPN。 这就是我们的一面。 在Google Apps方面,我有一个帐户和03个用户用于login的域。主域拥有大部分用户,但是有几个用户使用其中一个子域login。 我有一个03域名,因为我为03公司运行邮件,并希望所有人都在同一个控制面板。 好吧,我在网上find了一些指南,但是没有一篇介绍AD FS的安装部分。 我读过某处需要直接从Microsoft.com下载AD FS 2.0的原因,因为Windows Server附带的版本是旧版本。 我下载了它(adfsSetup.exe),并试图安装,但有一个错误,说我需要一个Windows Server 2008的Sp2的程序。 我的Windows Server 2008是R2。 我真的需要一些帮助,这是非常重要的,我不想为一个SSO解决scheme支付1000美元,当我有一个AD设置。 有人可以指出我正确的方向吗? 我在哪里可以find与R2兼容的AD FS 2.0设置将是一个很好的开始,或者与r2一起使用的是2.0版本。 初始设置后,互联网上有一些关于Google Apps部分的指南。 这似乎很容易。 我也尝试添加AD FS的angular色,但有一堆选项,我不知道什么手段,我没有find任何指导,在互联网上覆盖。 我没有很多与Windows Server的经验,但我有一个公司authentication,并提供我们的支持。 我可以在后面的设置中请求他们的帮助,但是我不认为ADFS是一个很常见的事情来处理。
我不知道这里发生了什么,但让我给你破败。 我有一个CRM 2011 IFD,所有账户都在运作。 出于无处不在,我发现,当被CRMredirect到ADFS 2.0login页面,而不是看到login页面,我得到以下错误: 403 – Forbidden: Access is denied. You do not have permission to view this directory or page using the credentials that you supplied. 我不确定这里发生了什么事。 证书是好的,尽我所知,login是好的。 更具体地说,没有任何修改。 这一切工作得很好,现在不行。 我真的很难过
我们有一个ADFStesting环境,但是我们遇到了login提示问题。 如果我们从域A浏览到ADFS,我们从ADFS获得一个令牌,但是当我们从域B浏览时,我们得到提示input凭据。 域A信任域B,但域B不信任域A. 奇怪的是,如果我们用服务器的IP地址replace完整的域名,我们可以成功地从两个域中获得。 我觉得这应该是一个非常简单的解决scheme,但我们很难过。
我们正在做反向工作,我们有一个已经build立的o365域,有400多个用户,现在正在部署本地AD,ADFS用于SSO。 昨天晚上,在configuration我的服务器之后,我运行了powershell命令convert -MSOLdomaintofederated将xxx.com虚拟域转换为联合,它错误地出现了一个未指定的错误(Microsoft ADFS支持表示错误与默认密码设置有关改变。)而当我运行convert-MSOLdomaintostandard时,它返回的域已经是标准的。 同样在o365门户网站中,它将域名显示为标准域名,但它正在尝试处理login尝试,就好像它是一个联邦域名一样。 我已经和微软通话了5个小时,并且已经升级到他们的工程部门进行解决,在几天内的某个时候…我昨天需要它。 从我们可以收集到的信息来看,转换过程开始了,错误的出现了,把一些内部configuration改成了联合,但是把描述保留下来(如果这样做的话)。 所以它在一个奇怪的地方,在两种模式下,但都不是在同一时间。 目前,解决这个问题的唯一方法就是去掉虚空域,然后重新添加它。 我需要一种方法来分离从xxx.com域的用户帐户,以允许其删除。 所有用户本身的移除不是一个选项。
有没有人在Server 2012上使用o365 SSO获得了ADFS 2.1? 我有它的工作到一个点,我调整了registry,允许powershell命令运行,用户帐户同步罚款。 即使远程连接分析仪也没有显示错误。 但是SSO本身似乎没有正确地传递凭据。 微软声称ADFS 2.1不支持与o365一起工作,但我只是固执而不放弃那么容易。
我正在尝试(和失败)replaceADFS 2.0独立安装的证书。 我已经生成了证书并将其放置在本地机器商店中。 但是,无论我做什么,我都不可避免地会遇到ADFS启动时报告的相同错误: 在处理联合身份validation服务configuration期间,发现元素“signingToken”具有无效数据。 已configuration的证书的私钥无法访问。 以下是证书的值: 元素:签名令牌 主题:CN =签名证书 指纹:<snip> storeName:我的 storeLocation:0 联合身份validation服务标识:NT AUTHORITY \ NETWORK SERVICE … 用户操作 如果证书是从没有私钥的源导入的,请select具有私钥的证书,或者再次从包含私钥的源(例如,.pfx文件)中导入证书。 如果证书是在用户上下文中导入的,请确认上面指定的商店与证书导入到的商店相匹配。 如果证书是由未指定“机器密钥”选项并且密钥标记为可导出的证书请求生成的,请将带有私钥的证书从用户存储导出到.pfx文件,然后再将其直接导入到存储在configuration文件中指定。 如果密钥未标记为可导出,则使用“机器密钥”选项请求新的证书。 如果联合身份validation服务标识尚未授予对证书专用密钥的读取访问权限,请使用“证书”pipe理单元更正此情况。 那么,我已经遵循了上面提到的所有用户操作,而他们都没有解决这个问题。 我似乎也无法find任何人的build议,接下来要做哪些诊断步骤。 那么,现在我该怎么办? 我重新启动时遇到5个错误。 前四个如上所述,几乎没有变化:首先为Element: serviceIdentityToken和服务通信证书,然后是encryptionToken , additionalEncryptionTokens和signingToken用于我要用于解密和签名的证书,最后是: 启用联合身份validation服务的端点时出错。 使用PowerShell cmdlet修复configuration错误并重新启动联合身份validation服务。 我认为这第五个错误与前四个有关,但是如果不是,我可以为它增加更多细节。 SSL和签名证书都是由我们的域CA生成的。 我想试图获得更多的信息,所以(知道ADFS是用.NET编写的)我敲了一个.NET服务项目,试图获得相同的证书私钥,它会产生以下exception: System.Security.Cryptography.CryptographicException: Invalid provider type specified. at System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer) at System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean […]
我们正在创build一个应用程序(希望)允许用户通过多种方式进行身份validation。 无论是基于云的服务(谷歌,脸谱等), 或希望 – 由自己的公司的Active Directory。 他们是一个相当简单的方法来做到这一点,而不是过度地达到客户愿意做的事情吗?
如果用户使用x509证书进行身份validation,则使用ADFS 2.0,我想向依赖方发送关于用户证书颁发者的信息。 这可能吗? 我应该如何configuration声明描述和声明规则?
我想知道是否有办法获得所有用户login和退出ADFS 2.0的列表。 这可能吗。 问候