我可以使用 ADFS 2.0 针对 SQL Server 对某些用户进行身份验证吗？

Question

我一直在使用 ADFS 对 AD 用户进行身份验证，使用 VS 中的声明感知模板。我们的一些用户不会在 Active Directory 中，所以我想知道是否可以配置 ADFS 为这些用户查找 SQL Server，然后照常进行。

Does ADFS2.0 provide custom authentication stores?

是一个类似的问题，只有一个人说可以，而另一个人说你不能。

Answer 1

AD FS 2.0只能针对 Active Directory (AD DS) 进行身份验证。这在官方 AD FS 2.0 文档中没有明确记录，但它来自以下两个 sn-ps：

• "Appendix A: Reviewing AD FS Requirements" from the AD FS 1.x Design Guide, section "Account store requirements" 说，“AD FS 支持两种类型的帐户存储：Active Directory 域服务 (AD DS) 和 Active Directory 轻型目录服务 (AD LDS)。”
• "Planning a Migration to AD FS 2.0" 说：“以下是 AD FS 2.0 不再支持的 AD FS 1.x 功能和方案：[...] AD LDS 用作帐户存储”。

因此没有基于 SQL Server 或其他方式的自定义身份验证存储。

（关于其他属性商店的另一个问题：这是可能的。）

an answer to the other question you refer to 中建议的解决方案有点误导。如果您阅读the actual blog post，您会看到他们添加了额外的 STS。 AD FS 2.0 对该其他 STS 具有“声明提供者信任”，并重定向到它（如果“主域发现”设置正确）。然后，其他 STS 以它喜欢的任何方式执行身份验证，将令牌发送回 AD FS，然后运行其声明规则。

因此，在该解决方案中，它不是针对非 AD 存储的 AD FS 2.0 身份验证，而是重定向到针对该存储进行身份验证的 STS。