ADFS 2.0 IDP启动的SSO

Question

我正在尝试为使用ADFS 2.0作为我的RP STS和SAML 2.0身份提供程序设置IdentityProvider启动的SSO的测试配置。这里是我的设置：

身份提供商 - 使用ComponentSpace SAML v2.0 .NET插件的SAML 2.0令牌发行网站。

RP STS - 具有与我的asp.net应用程序的RP信任关系的ADFS 2.0实例。

RP应用程序 - 带有对我的ADFS 2.0 STS的STS引用的ASP.NET Web应用程序（WIF）。

因此，用户登录身份提供商网站并进行身份验证。然后他们被链接到RP STS。这个链接（据我所知）应该使用RelayState来告诉RP STS用户需要被转发到哪个应用程序。我知道我需要在ADFS和我的IP门户网站之间建立某种信任，但我不知道这可能是什么。我的问题是我找不到任何有关如何做到这一点的指示的好资源。我发现的大部分内容都假设ADFS也是身份提供者，并且配置为SAML 2.0端点。我试图做不可能或者我只是找不到合适的资源？

谢谢！

Answer 1

您需要在ADFS上设置一个指向您身份提供者的Claim Provider信托。在身份提供商处，将RP信任设置回ADFS。

此外，ASP.NET Web应用程序需要使用ADFS，因为它是STS。

并且声明需要设置为通过。

参见：ADFS 2.0 By Example - Part1: ADFS as IP-STS and R-STS

更新：

在IP方面，那是他们的问题。在你身边，手动配置信任。

请参考：ADFS : SAML configuration parameters。

这些问题直接与输入参数有关。

您需要导出ADFS令牌签名密钥（无需导出私钥）并将其发送给他们。他们需要向你发送他们的证书。一旦您手动设置了信任，请点击证书选项卡并导入他们的证书。

Answer 2

几个月前，我曾问过这个问题：

1. 我们已经创建了一个测试网站，在这里我们使用表单认证技术进行身份验证的所有用户，它需要一个认证令牌来授权应用的任何用户。
2. 因此，为了创建此令牌，我们必须与身份提供者（IP）进行通信以获取经过身份验证的用户详细信息。
3. 为了与IP服务器通信，我们使用SAML协议来发送和接收请求和响应。
4. IP已经为我们提供了发送和接收SAML数据包所需的端点详细信息和证书。
5. 我们还发送了我们的终点，证书和声明规则，以便他们可以将ADFS服务器配置为测试站点作为依赖方。
6. 由于这一切，我们能够将我们网站上的匿名访问以SAML请求的形式重定向到他们的ADFS服务器。
7. 他们也能够处理它，并给我们发送响应与用户喜欢的名称，用户名，电子邮件等所有细节
8. 我们已经使用了第三方.dll文件生成和处理SAML请求，名称是：ComponentSpace （http://www.componentspace.com/）。