我正在使用ADFS 3.0联合域(与Office-365的SSO),我已经成功地设置了密码更改页面,以便从任何工作场所join设备工作。 我目前正试图将其设置为可以从任何未join工作场所的设备访问。 我应用了本文中提到的修补程序: 注意:ADFS 2012 R2需要authentication/注册的设备(又称“工作场所连接”)才能更改密码。 根据客户的反馈,我们已经放宽了这个限制,并允许所有的设备。 您将需要在所有ADFS服务器上应用3035025修补程序。 但是,当我尝试从公司networking访问密码更改页面: https://adfs.mydomain.com/adfs/portal/updatepassword : https://adfs.mydomain.com/adfs/portal/updatepassword 我收到一个错误: HTTP 503 – 服务不可用 任何build议如何解决这个问题? 编辑: 只是想补充一点,我可以访问adfs.mydomain.com并显示IIS的欢迎页面
如何指定一组特定的组来查找和返回ADFS身份validation,而不是在响应消息中search并返回所有用户的组? 这个问题回答了Jim B给出的关于这个问题的答案: 在ADFS中获取嵌套用户组 Jim表示:“除了服务器上的安全和性能问题之外,你应该在你所寻找的小组中具体,而不是返回所有小组,除非安全和性能问题在服务器上,大量的小组返回可能会导致你的应用爬行。 15时18分25秒“
我正在尝试创build声明规则,以便在向ADFS服务器进行身份validation时返回组中的所有用户名。 目前我有声明规则设置返回login的人的用户名,但我想要获取特定组中的所有用户名。 最终,我想获得用户名和电子邮件,但现在我想保持尽可能简单,以了解正在发生的事情。 我认为这将需要一个自定义声明规则,到目前为止,这是我所拥有的: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "Telephone Number"), query = ";mail,telephoneNumber;{0}", param = c.Value);
我们正在使用O365租户中的Azure AD Premium的本地回写function评估自助密码重置/更改/解锁function。 考虑到我们已经通过ADFS实施了身份validation,我们是否可以实施自助密码重置?
有什么办法来configurationADFS 3.0,以便它返回包含用户的NetBIOS名称的声明? 为了与遗留系统互操作,我需要NT4格式的主题名称(即SamAccountName\NetBiosName ) 现在,我唯一能找出的办法就是有点乱七八糟:包括领域合格的团体,find一个名为“MYDOMAIN \ Domain Users”的团体,并在反斜杠之后去掉所有的东西。 必须有更好的方法,对吧?
我正在尝试为Windows 10设置自动AAD连接,如下所述: https : //azure.microsoft.com/en-gb/documentation/articles/active-directory-conditional-access-automatic-device-registration-setup/ 我们有两个内部ADFS 3.0服务器(Server 2012R2)。 它们使用Azure AD Connect在四个UPN上与Office 365联合进行configuration: ad.dom1.com – 这是森林名称,我们只有一个森林 dom1.com – 大多数用户都在这个域下 dom2.com dom3.com ADFS服务器使用https://adfs.ad.dom1.dom上的TCP级负载均衡器进行公开 ,并使用由公共CA签名的证书。 ADFS服务器没有运行DRS,因为我们打算使用Azure AD来执行此操作。 对于使用任何这些UPN后缀创build的用户,使用Office 365的联合身份validation成功,但只有在修改了https://blogs.technet.microsoft.com/abizerh/2013/02/05/supportmultipledomain中所述的第三条规则之后-switch -当-pipe理-SSO-到办公室-365 / Azure文章中的所有先决条件步骤均已执行: 设置服务连接点 执行Initialize-ADSyncDomainJoinedComputerSync 确保文章中的前三条联邦规则存在(它们是由Azure AD Connect自动创build的) 确保Auth方法声明规则存在并执行Set-AdfsRelyingPartyTrust 创build了组策略 另外,这些领域: enterpriseregistration.dom1.com enterpriseregistration.ad.dom1.com enterpriseregistration.dom2.com enterpriseregistration.dom3.com 是所有Cregs for enterpriseregistration.windows.net 但是,尽pipe所有其他身份validation似乎都正常,但在所有现有的Windows 10 Enterprise域join的客户端计算机上,自动AADJ进程都会失败。 Microsoft / Windows /用户设备注册事件日志中存在以下错误: 事件ID 305 Automatic registration […]
我有Dynamics CRM 2016的内部部署安装,它具有使用ADFS 4.0(Server 2016)实例configuration的基于声明的身份validation。 通过ADFSlogging到CRM工作正常。 我有一个单独的Node.js应用程序尝试使用Microsoft提供的ADAL库访问CRM Web API来执行身份validation。 我已经使用PowerShell为具有客户端ID和密钥的此Node应用程序创build了一个ADFS客户端。 当节点代码执行以从ADFS获取用于调用CRM Web API的令牌时,出现错误MSIS9605:客户端不允许访问请求的资源 。 很明显,这个调用正在到达ADFS,但我似乎无法find一种方法来configurationADFS,以允许客户访问由ADFS保护的其他资源。 这里是Get-ADFSRelyingPartyTrust的输出: AllowedAuthenticationClassReferences : {} EncryptionCertificateRevocationCheck : CheckChainExcludeRoot PublishedThroughProxy : False SigningCertificateRevocationCheck : CheckChainExcludeRoot WSFedEndpoint : https://crm.mysite.com/ AdditionalWSFedEndpoint : {} ClaimsProviderName : {} ClaimsAccepted : {, , } EncryptClaims : True Enabled : True EncryptionCertificate : [Subject] CN=*.mysite.com, OU=Domain Control Validated […]
我在Windows Server 2012 R2上使用ADFS 3.0。 我有一个应用程序使用OAuth2请求授权代码,然后使用该代码获取访问令牌。 应用程序在其redirectURI中需要一些上下文,有时这个上下文会导致一个大于400个字符的URI。 发生这种情况时,ADFS 3.0将返回: MSIS9253:收到的授权码无效。 接收到的客户端标识符或redirectURI与接收到的授权码发出的客户端ID或redirectURI不匹配。 我确认这个错误是误导性的。 客户端ID和URI完全相同 – 问题似乎是,如果URI长度超过400个字符,ADFS 3.0会截断redirectURI。 然后,它将访问令牌请求期间传递的直接URI与授权请求期间传递的URI进行比较,它们不匹配! 我能够直接连接到ADFS使用的数据库,并且我确认他们的模式只包含redirectURI的400个字符。 有没有办法允许更长的URI?
基于文档和文章,RP的TokenLifetime属性是: 60分钟时设置为0(这是默认值) 分钟数(最多480),其中1是1分钟,2是2分钟,依此类推 我相当肯定SAMLResponse的元素中的NotBefore / NotOnOrAfter属性应该有一个等于TokenLifetime的时间差。 在使用HTTP Redirect / Post绑定方法的Web浏览器SSOconfiguration文件进行了一些testing后,我注意到以下与我的TokenLifetime属性定义不一致: 0 = 60分钟(好) > 0是小时(不是分钟),所以1 = 60分钟,2 = 120分钟,… (坏) 是否有其他属性或设置影响NotBefore / NotOnOrAfter属性的时间差异? 我的断言是不正确的? 最终,我需要NotBefore / NotOnOrAfter属性中的时间差异为3-4分钟。 谢谢! 更新 :我testing了使用ADFS 3.0的东西,它的工作方式我期望它应该(即TokenLifetime 1 = 1分钟…),所以2.0仍然是一个谜!
我正在使用外部ADFS提供程序进行单点login的Azure上设置Wordpress安装。 到目前为止,WordPress的安装是自我托pipe的,并使用miniOrange wordpress SSO插件来提供单一login。 如果可能的话,不要再依赖第三方插件了。 当Wordpress托pipe在Azure上时,是否可以直接使用Azure处理外部SSO? 或者是WordPress中仍然需要的第三方SSO插件?