article 让我想到了当您通过 FedUtil 将启用非声明的 ASP.NET 应用程序与 ADFS 联合时会发生什么。
文章建议让这项工作正常进行的关键是打开对 Windows 令牌服务 (C2WTS) 的声明。此服务有效地将 ADFS 令牌转换为 Windows 令牌。
所以我使用 Windows 身份验证构建了一个快速的 ASP.NET 应用程序,运行 FedUtil,我可以使用 ADFS Windows 身份验证或 StarterSTS 对 ADFS 进行身份验证。问题是 C2WTS 没有运行,所以它可以工作,尽管我预计它不会。
显然,您无法访问应用程序中的声明对象,但除此之外它可以正常工作。
但是,这确实会引发一个问题。由于您无权访问 FederatedPassiveSignOut 等,如何从 ADFS 注销?
令牌是否正在发送到应用程序?
是否只是忽略它们而不抛出任何异常?
C2WTS 是否需要成为图片的一部分?
我错过了什么吗?
【问题讨论】:
在其他论坛上提问,Steve Syfuhs 回答:
FedUtil 修改 web.config,因此身份验证方法为“无”,并在 Web 请求的早期插入一些处理程序以查看会话是否存在,如果不存在,则通过重定向到指定的会话来创建会话STS,STS 做它的事,并将令牌传递回站点。另一个处理程序接收令牌并基于令牌构建一个 IClaimsPrincipal 对象。 Thread.CurrentPrincipal 对象设置为 IClaimsPrincipal。因此,Windows 身份验证不会发生在 Web 应用程序中(但它在 ADFS 中)。
OWA(所有构建良好的 Web 应用程序都应该如此)查看 Thread.CurrentPrincipal 以获取用户的身份。只要 STS 提供的值与 OWA 所期望的相匹配,OWA 就会很高兴。某些声明可通过 Thread.CurrentPrincipal 获得,例如 Name 声明,OWA 使用它来获取用户名。创建 C2WTS 是为了充当理解声明的应用程序和不理解声明的应用程序之间的垫片,方法是创建 Windows 令牌并将其附加到用户会话。 OWA 需要调用 Active Directory 来获取某些信息,并且它通过 Windows 身份验证来实现,因此需要一个 Windows Token。
在这种情况下,无法退出 ADFS,但您仍然可以通过删除 cookie 来终止 OWA 或自定义应用程序中的会话。在自定义 Web 应用程序中,您可以链接到 ADFS 注销页面,即https://adfsserver/adfs/ls/?wa=wsignout1.0,该页面将注销 ADFS。
更新:
只是为他人记录:
这种方法可以外包身份验证,但存在三个问题:
【讨论】: