针对 ADFS 的身份验证，针对 sql server 的授权

Question

经过几天的搜索、阅读和反复试验，我肯定需要一些帮助。

情况： 我需要使用 MVC 创建一个 Web 应用程序，其中用户使用 ADFS 针对 AD 进行身份验证。但是他们不想将角色和更多信息存储到 AD 中。所以我需要在其他地方阅读和存储这些信息。我的第一个想法是使用 VS 在创建新 Web 应用程序并选择“个人用户帐户”时设置的相同基础架构。

到目前为止我做了什么：

• 我在 VS 中创建了一个新的 Projekt，并使用 ADFS 实现了针对 AD 的身份验证（使用这个非常有用的链接 (http://www.cloudidentity.com/blog/2014/02/12/use-the-on-premises-organizational-authentication-option-adfs-with-asp-net-in-visual-studio-2013/)。效果非常好。
• 开始吃我的键盘，因为我无法完成下一步。

我的问题： 这是否可以使用 ADFS 对用户进行身份验证，并通过使用/扩展 ASP.NET 身份框架来检索有关登录用户的更多信息（如角色、其他属性（例如部门））？有人有很好的链接吗？

我很乐意提供任何帮助。

Answer 1

无需在您的网络应用程序中完成这项工作...

您可以简单地让 ADFS 从 SQL 数据库中获取声明信息。

添加属性存储..
将属性存储类型设置为SQL
输入一个显示名称和你的连接字符串

然后在向依赖方添加声明时选择一个声明类型 的“...自定义规则”并让您输入的查询从您的数据库中获取属性。

TechNet 中有一个很好的演练，其中包含更多详细信息

Answer 2

您遇到的问题是您必须通过某种主键将 AD 声明映射到 ASP.NET 标识。

这里有很好的链接：Code! MVC 5 App with Facebook, Twitter, LinkedIn and Google OAuth2 Sign-on (C#)。

（借助 ADFS 4.0 (Server 2016)，您将能够使用 SQL DB 进行身份验证和授权）。