服务器上已配置 ADFS。不同的应用程序正在使用它进行单点登录。我想使用相同的 aDFS 服务器在我的应用程序中实现单点登录。请问有什么清单可以从哪里开始?
您需要改进您的问题,提供有关您想要拥有 SSO 的应用程序的详细信息。——其表单身份验证 ASP.NET Web 应用程序
您正在使用哪个版本的 AD FS?--Windows Server 2008 上的 AD FS 2.0 AD FS 服务器运行的是什么操作系统,因为它有助于确认功能。--Windows Server 2008 应用程序能够对话的是什么(SAML2、WS-Fed、Oauth)。??? 应用程序现在如何进行身份验证(它是 Windows 集成还是其他什么)?--表单身份验证应用程序在什么上运行(Asp.Net、Java 等...)--ASP.NET 4.0、C# 4.0
答案1
您实施基于声明的身份验证(最好使用 ws-fed 或 ws-trust)。此时,您将获得所需的声明,然后可以与 ADFS 管理员交谈以创建信任,以便您的应用依赖经过身份验证的声明进行授权。
答案2
假设您的应用程序可以与 AD FS 联合,那么您将需要在应用程序端和 AD FS 端执行一些操作。
在 AD FS 上,您将创建依赖方信任。在应用程序端,您需要将其配置为信任 AD FS 颁发的令牌。
您无需创建 STS,因为 AD FS 就是此处的 STS。元数据始终发布在类似以下 URL 上https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml其中用于 AD FS 的服务器名称 (sts.contoso.com) 有所不同。
发行者是标识符字符串,默认情况下为http://sts.contoso.com/adfs/services/trust在这种情况下。您可以在 AD FS 管理控制台中的联合服务属性中或在 get-adfsproperties cmdlet 输出中看到它。如果需要,您还可以将其更改为另一个 URI。
如果您在 AD FS 上执行 FBA,则会提供登录页面。否则,您可能会收到执行 Windows 集成身份验证的提示。
看来您需要阅读大量有关 AD FS 功能和用法的资料。我认为问题/答案并不是让您了解如何在 AD FS 中执行所有操作的好方法。
由于您使用的是 AD FS 2.x,因此您应该查看以下信息http://social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-content-map.aspx
看https://msdn.microsoft.com/en-us/library/hh545401(v=vs.110).aspx有关定制 ASP.Net 应用程序以使用 WS-Federation 的详细信息。
http://www.cloudidentity.com/blog/2014/04/29/use-the-owin-security-components-in-asp-net-to-implement-web-sign-on-with-adfs/了解如何在 Windows Server 2012 R2 上将 OWIN 与较新版本的 AD FS 结合使用也很不错。这些说明完全适用于 AD FS 2.x,因此您可能更喜欢使用 OWIN 而不是 WIF。