ADFS 和信赖方 Web 表单

ADFS 和信赖方 Web 表单

我们正在配置 ADFS 服务器以允许来自第三方 Web 应用程序的 SMAL 身份验证。

我们稍微感到困惑的是以下几点:

  1. 我们从依赖方收到了元数据文件和配置步骤。我们将按照依赖方的建议进行配置。我的问题是,我们是否需要提供它们以便 SSO 正常工作?例如,证书或来自我们 ADFS 服务器的任何配置信息?

  2. 我们需要在 ADFS 服务器中设置 ForceAuthn 标志。我们需要在哪里设置此标志?

任何针对这些问题的指点都将不胜感激。

请注意,身份验证是从 Web URL 到 ADFS 服务器。

谢谢尼克

答案1

  1. 您的 AD FS 元数据 URL 应提供给依赖方。他们可能会允许您在某些 Web 门户上自行进行相关配置。您的元数据 URL 如下所示。根据需要将 sts.contoso.com 替换为您的服务名称https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml。此 URL 可匿名访问,无需任何身份验证,理想情况下应可通过互联网访问。否则,您应使用 Web 浏览器内部访问它,并将其保存为 XML 并提供给依赖方。

  2. ForceAuthn 是每次在 IDP (AD FS) 上强制进行新身份验证的方式。如果执行 SP 发起的登录,则他们(依赖方)应将其发送到他们生成的 samlp:authnrequest 中。另一个选项是使用 set-adfsrelyingpartytrust cmdlet 将 -AlwaysRequireAuthentication 配置为 $true。这仅适用于基于 Windows Server 2012 R2 的 AD FS。

答案2

他们可能还需要您的令牌签名证书的公钥。
导出说明可在此处找到: https://technet.microsoft.com/en-us/library/cc737522(v=ws.10).aspx

相关内容