我有Web应用程序使用WIF/ADFS声明为ruathentication,我已经为此设置了一个adfs和AD。本地adfs到客户端ADFS和AD redirction
现在我的需要是我想重定向和levarage客户端特定的ADFS & AD进行身份验证。
APP->本地ADFS->客户端-1 ADFS->客户-1 AD
APP->本地ADFS->客户端-2 ADFS->客户端-2 AD
所以我要在我的本地ADFS中为该客户端特定的重定向执行配置,可以吗?
如果我理解正确,您的组织中将有一个ADFS Federation Provider(FP)颁发者,并且您的客户端将拥有ADFS(或其他)身份提供者(IdP)颁发者。
为此,您需要在ADFS中设置2个Claims Provider Trusts(CPT),一个用于Client1,另一个用于Client2。当您启动新的CPT向导时,您可以使用客户端ADFS提供的元数据(例如https://fs.client1.com/federationmetadata/2007-06/federationmetadata.xml)配置这些向导。您的客户还需要将您的组织配置为其ADFS中的依赖方信任(RPT)。如果您的元数据通过URL可供他们使用,他们应该能够在ADFS中使用新的RPT向导,并为您的组织配置他们的RPT,类似https://fs.myorg.com/federationmetadata/2007-06/federationmetadata.xml。然后,应在客户的这些RPT中配置声明规则,以便将声明发送给您的组织,并且应将您的客户的CPT配置为处理从客户收到的声明。
是的,你的答案是有道理的,我也做了同样的事情。但是,当我的应用程序向我的组织ADFS发出请求时,它本身正在做所有的事情,因此请求根本就不是client1 adfs。这里我的问题是我的组织ADFS如何知道它将这个请求转发到CLient-1 ADFS(这没有发生)。如果我错了,请纠正我。 – user1220402
这可能是你的家庭厨艺。尝试使用IE InPrivate或Chrome隐身模式,当您点击应用时,您是否会重定向到家庭领域发现页面,并显示来自ADFS的CPT?如果是这样,请选择其中一个。 – Gilligan
目前使用WIF Web应用程序部署ADFS 2.0。在ADFS 2.0中将WIF应用程序配置为答复方。多个声明提供程序也在ADFS 2.0中配置。对于SP发起的最终用户请求WIF应用程序,重定向到ADFS 2.0系统以进行家庭领域发现,重定向到Claims Provider配置的IdP,执行身份验证,使用SAMLResponse的POST重定向到ADFS,然后最终重定向回WIF使用FedAuth安全令牌的应用程序。这没有按预期工作(见下面的评论) – user1220402