La configurazione è: ADFS 2.0 come IdP (entrambi WS-Federation e SAML 2.0 sono supportati), app ASP.NET come fornitore di servizi. Quando SPS richiede ADFS con WS-Federation standard (WIF utilizzato), mi consente di accedere automaticamente ad ADFS senza finestra di accesso, anche se è stata avviata una nuova sessione, in modo che il token Kerberos svolga il suo lavoro correttamente come previsto. Tuttavia, in caso di SAML 2.0 (viene utilizzata la libreria ComponentSpace.SAML.2) ogni volta che apro IE9 e viene reindirizzato a ADFS, mi viene chiesto di immettere le credenziali del dominio Windows in una finestra di accesso pop-up standard piccola. C'è qualche parametro SAML 2.0 o altra tecnica che mi consenta di sbarazzarmi di questa finestra come nel caso della WS-Fed? GrazieSSO trasparente con SAML (IE, SAML 2.0, ADFS, autenticazione Kerberos)
risposta
adfsserver.us.mycompanyname.com/adfs/ls si trova nella zona Internet e l'accesso automatico non avverrà.
adfsserver/adfs/ls si trova nella zona Intranet in IE e si collegherà automaticamente.
È possibile aggiungere adfsserver.us.mycompanyname.com all'elenco dei siti attendibili (o della zona Intranet) e non è necessario fornire le credenziali.
Prova: urn:federation:authentication:windows invece di: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport in questa parte del SAML richiesta di autenticazione 2.0:
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:authentication:windows</saml:AuthnContextClassRef>
Sfortunatamente non riesco a trovare un modo per farlo con Component Space SAML v.2. Esiste un oggetto AuthnRequest che viene utilizzato per formare la richiesta di autenticazione SAML 2.0, ma non vi è nulla riguardo a questo riferimento di classe di autenticazione al suo interno. – YMC
non è una risposta, è piuttosto aggiornare alla mia domanda, ma è importante e ho deciso metterlo come risposta per attirare più attenzione ad esso. Quello che ho capito giocando con i parametri SAML per alcuni giorni è che sembra non dipendere dal protocollo (WS-Federation/SAML2). Ciò che in realtà dipende è il nome di dominio del server adfs long/short, in modo che la richiesta di autenticazione come https://adfsserver.us.mycompanyname.com/adfs/ls appaia questa finestra, mentre lo https://adfsserver/adfs/ls no. Tuttavia, non posso utilizzare il nome di dominio breve per SAML 2.0, sto ricevendo un errore nel caso: "MSIS1006: l'endpoint passivo configurato" https://adfsserver.us.mycompanyname.com/adfs/ls/ "non è un prefisso del messaggio SAML in arrivo URI di destinazione 'https: // adfsserver/adfs/ls /' ". A proposito, usiamo SSO solo nella nostra intranet locale, quindi non so perché questa eccezione si verifica. Qualche soluzione?
È possibile modificare del server endpoint passiva seguenti passaggi riportati di seguito:
http://breakingdevelopment.blogspot.in/2012/12/adfs-msis1006-i-am-working-on-sso.html
- Aprire ADFS 2.0 Service Manager
- selezionare "Modifica Federazione proprietà servizio ..." nell'angolo in alto a destra. Viene visualizzata la finestra Proprietà servizio federativo
- Modificare l'identificativo servizio federativo in modo che corrisponda all'URL del provider di identità (IdPURL) passato dall'applicazione SSO.
- 1. SSO SAML 2.0 per Ruby on Rails?
- 2. Certificato autofirmato con SAML 2.0
- 3. SSO basato su SAML con Laravel
- 4. ADFS 2.0 supporta il protocollo SAML 1.1 e i profili SSO Web?
- 5. SAML 2.0 vs OpenID
- 6. SAML con API EWS
- 7. WIF (Windows Identity Foundation) con SAML 2.0
- 8. applicazione client desktop per SSO che utilizza SAML
- 9. SSO Java: autenticazione Kerberos contro Active Directory
- 10. Crea richiesta di autenticazione SAML utilizzando WIF
- 11. Verifica firma XML firmata per SSO SAML (utilizzando sha256)
- 12. Lettura degli attributi SAML dal token SAML
- 13. Canonicalizzazione XML corretta per SAML
- 14. È possibile fare sso per http://aws.amazon.com utilizzando saml?
- 15. WSO2 Identity Server URL di ritorno SSO SAML
- 16. Esiste un formato standard di asserzione crittografata SAML 2.0
- 17. Gli attributi sono consentiti in una richiesta di autenticazione SAML?
- 18. SAML Richiesta attributi in AuthnRequest
- 19. Decrittografia dell'asserzione crittografata utilizzando SAML 2.0 in java con OpenSAML
- 20. Come selezionare automaticamente il provider di identità SAML configurato in un ambiente multi-tenant per eseguire SSO utilizzando Spring SAML
- 21. Dimensioni token SAML e REST
- 22. In che modo SAML fornisce realmente sicurezza?
- 23. comprensione Shibboleth e SAML
- 24. NodeJS SAML Lib
- 25. Azure ACS supporta idP saml 2.0 come Salesforce?
- 26. perché SAML è basato sul browser
- 27. Guida introduttiva a SAML e PHP
- 28. Che cos'è esattamente il parametro RelayState utilizzato in SSO (Es. SAML)?
- 29. Spring Security SAML + HTTPS a un'altra pagina
- 30. - Utilizzo di omniauth-saml con più IDP
Che cosa fornisce il supporto SAML all'interno del tuo RP? Stai usando WIF o cosa? – nzpcmad
La libreria ComponentSpace.SAML.2 viene utilizzata per reindirizzare l'utente a ADFS 2.0, analogamente a quanto avviene negli esempi forniti con la libreria. Il protocollo POST viene utilizzato – YMC