我们有一个客户希望他们的用户使用SharePoint Online和Exchange / Office 365邮件的不同用户帐户(这听起来有点奇怪,这是合法的原因)。 所有的帐户都在同一个域中,客户已经与租户configurationADFS。 我可以在网上find的所有文章和post处理与此情况完全相反的情况(无论是SSO还是带有一个租户的多域)。 我想知道的是,如果我们可以使用不同的领域ID(或类似的)来configurationSharePoint Online和Exchange,以便ADFS可以被触发,从而为一个领域使用不同的身份validation机制。 ****编辑**** 下面的评论是一个更多的颜色,因为需要两个领域的ID(或任何其他机制来解决这个问题)。 客户在其组织中基本上有两种用户帐户。 大部分是通过ADFS提供的SSO访问O365的标准普通用户帐户。 其他types的用户通常不login到工作站,也没有自己分配的桌面。 这些用户使用共享的工作站,这些工作站在通用的公用帐户下不断login。 当这些用户访问共享工作站(我在下面的评论中将它们称为信息亭,但这是一个轻微的失实陈述),然后尝试访问O365,则ADFS将用户login为通用帐户。 当用户访问主要门户页面的SharePoint Online(当访问受保护的子站点时,用户获得访问被拒绝的页面,但有一个选项以另一个用户身份login时)时,用户无法访问电子邮件(他们得到一个错误页面,因为通用帐户没有收件箱,并且没有办法重新进行身份validation)。 我最初的想法是,如果我们可以使用两个IdP(或一个ADFS服务器与两个RP),那么我们可以使用SharePoint领域的SSO / WIA,然后使用表单身份validation的Exchange领域。 我的另一个想法是在ADFS中使用声明规则(它们位于ADFS 3 / 2012R2上),以在用户的UPN匹配模式时强制窗体身份validation。 我有一个最终的平底船解决scheme是使用GPO禁用公共帐户在IE浏览器的SSO。
话题说了这一切。 有没有人从模板生成一个自签名的令牌签名证书,你可以从哪里下载一个模板(而不是像makecert这样的工具)? 这不是通用的SSL证书,而是一个令牌签名证书。
我收到ADFS跟踪logging下的此错误 – debugging: ServiceHostManager.LogFailedAuthenticationInfo: Token of type 'http://schemas.microsoft.com/ws/2006/05/identitymodel/tokens/UserName' validation failed with following exception details: System.ArgumentOutOfRangeException: Not a valid Win32 FileTime. Parameter name: fileTime at System.DateTime.FromFileTimeUtc(Int64 fileTime) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetPasswordExpiryDetails(SafeLsaReturnBufferHandle profileHandle, DateTime& nextPasswordChange, DateTime& lastPasswordChange) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName) […]
我有一个.Netnetworking应用程序,允许用户使用身份提供程序(Azure AD,Google和/或ADFS)连接帐户以允许单点login。 在连接他们的帐户(或“登机”,无论…),每个提供商应返回以下值: 用户唯一标识 ( 用户唯一标识) (租户永远不会为用户更改的标识值(例如,如果其名称更改,值仍然不变) 租户唯一ID当人们使用多个客户群的应用程序时,我需要为每个客户的ID提供者/租户存储一个识别值 用户名称用户的友好名称(例如电子邮件地址),可用于向提供者显示其“姓名”(例如,如果使用Google或Azure AD,则为您的电子邮件地址) 到目前为止,我在Azure AD和Google中已经实现了这一点,但是我正在与ADFS苦苦挣扎。 由于我没有一个活的ADFS服务器,我正在使用虚拟机来查看如何设置上面的声明。 ADFS有可能build立一个依赖方,然后创build三个声称来填充上面的声明? 在通过ADFS索赔规则对话框进行工作时,我认为以下方面可能有效,但是缺乏经验知道它是否有效: 名称ID – 持久标识符 不确定 – 也许手动创build值“CompanyABC_Tenant123” UPN 第二项是否可以做到。 或者,有没有更好的办法来实现我所需要的? 我注意到,如果使用Azure AD Access Control,则上述三项自动填充,但假定在云中创buildID,而不是在本地。
据我所知,ADFS自我pipe理令牌签名和解密证书,除非在我目前的情况下另外configuration(见附图),应该不需要做任何事情,我是否正确? 另外,我是否应该期望在到期时删除旧的证书(现在是次要证书)? (现在一切正常,我只想合理地确信没有什么会意外地炸毁)
我们为两个AD FS代理服务器(也在AWS中托pipe)运行AWS ELB。 出于某种原因,当我将其设置为HTTPS模式时,它不起作用。 当我将其设置为TCP模式时,它可以正常工作,但无法确定停机时间。 每当我将链接设置为以HTTPS模式检查adfs时,它都会报告不可用的实例。 我可以通过将IP和地址放入我的主机文件来击中每个服务器。 由于某种原因,https只是不起作用。 有关如何使HTTPS模式工作的任何想法?
我试图让用户更新他们的密码。 我有一个服务器2016与Active Directory和ADFSconfiguration为SSO。 SSO工作正常,Active Directory与Azure AD同步。 我们使用Office 365并按计划同步新用户。 我启用了AD FS端点/ adfs / portal / updatepassword,正如在我已阅读的教程中所述。 当我冲浪到https://www.example.com/adfs/portal/updatepassword我得到“HTTP错误503.该服务不可用。” http也一样。 我在事件查看器中启用了AD FS跟踪function,但无法find任何条目来帮助我find并解决问题。 此外,当我从Office 365单击更改密码时,出现错误“您不能在此更改密码”。 我不知道这两者是否有关系,但我完全陷入困境。 任何帮助将不胜感激! 所以只需要清楚:我希望不在join域的计算机上工作的用户能够从他们的Office 365环境中更改他们的密码。 编辑:我在AD FSpipe理事件日志中得到此错误: There was an error in enabling endpoints of Federation Service. Fix configuration errors using PowerShell cmdlets and restart the Federation Service. Additional Data Exception details: System.Net.HttpListenerException (0x80004005): Access […]
有一个外部的Web应用程序,我们公司将在托pipe公司使用。 他们向我们发送了PingOne邀请SSO的设置。 一切似乎非常简单。 我开始在我们的组织设置我们的ADFS环境。 ADFS01 – 内部服务器和组织中第一个ADFS场。 服务器2016年 ADFSProxy01 – DMZ中的ADFS代理服务器(nat为外部IP)。 服务器2016年。 ADFS.Samplecompany.com – 内部的ADFS联合名称的DNS名称。 也指向外部代理服务器的自然外部IP。 networking:我做了所有的networking。 在443上打开DMZ代理服务器到内部ADFS服务器。在443上在代理服务器外部打开。 证书:使用通配符证书(* .samplecompany.com),并将该证书用于ADFS环境。 服务通信正在使用此证书,在设置过程中,令牌解密证书和令牌签名证书都由向导自动完成,并且是自签名的。 我使用了相同的证书(通配符),并在设置DMZ代理服务器与内部ADFS服务器之间的信任连接时应用此证书。 信任关系已启动并正在通过代理服务器上的远程访问angular色进行工作。 http://imgur.com/a/noV5R 我可以成功地前往外部计算机并转至https://adfs.samplecompany.com/FederationMetadata/2007-06/FederationMetadata.xml,并且可以下载该文件,以便告诉我ADFS环境已启动并且代理工作正常。 当我从Ping One导入元数据文件时,在设置依赖方信任开始时出现以下错误。 http://imgur.com/a/ER1SL 当我将它们放到Chrome中时,我的内部ADFS服务器可以访问.xml文件中的所有URL。 我实际上并没有看到有任何stream量将我的ADFS01服务器传送到互联网,尝试下载任何东西(我不确定是否应该这样做)。 我很感激任何帮助,这实际上是我尝试设置的第一个SAML应用程序,感觉就像我已经拥有了一切,但是在组织和另一个组织之间build立连接的第一步是失败。 不知道这是证书问题还是我错过了。
我试图设置Active Directory联合身份validation服务依赖方,我得到以下错误。 我已经尝试修改页面以允许<pages validateRequest="false"> web.config,并没有什么区别。 有人可以帮我吗? “/ test”应用程序中的服务器错误。 A potentially dangerous Request.Form value was detected from the client (wresult="<t:RequestSecurityTo…"). Description: Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted. This value may indicate an attempt to compromise the security of your application, such as a cross-site […]
我们正在计划从ADFS 1.1迁移到ADFS 2.0,而且我一直在研究这个主题的白皮书,但是运气不错。 任何人都有这样的参考?