【发布时间】:2019-02-02 16:27:51
【问题描述】:
我尝试在本地配置我的 ADFS 4.0 (2016) 以将 AuthNRequest 发送到 SamL 2.0 IdentityProvider (ClaimsProvider)。 IdentityProvider 需要在 AuthNRequest 中有 AssertionConsumerServiceURL
我尝试使用 Set-ClaimsProviderTrust SamlAuthenticationRequestParameters 的几种组合,但它不包括发送到 IDP 的 ADFS AuthN 请求中所需的属性。
我使用以下 Powershell 更新 ADFS Claimsprovider
设置-ADFSClaimsProviderTrust -TargetIdentifier “https://idpsite/sps/sadidp01/saml20”-名称“MYIDP” -SamlAuthenticationRequestParameters “网址”
-SamlAuthenticationRequestParameters 的 Microsoft Docs 说明:
指定在对声明提供者的 SAML 身份验证请求中使用以下哪些参数:AssertionConsumerServiceIndex、AssertionConsumerServiceUrl 和 ProtocolBinding。
https://docs.microsoft.com/en-us/powershell/module/adfs/set-adfsclaimsprovidertrust?view=win10-ps
从 ADFS 发送的示例 AuthN 请求缺少 AssertionConsumerServiceURL:
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="id-4ba0a2a8-9d62-4dbe-94aa-709f6e188e07" Version="2.0" IssueInstant="2019-02-02T08:01:48.299Z" Destination="https://idpsite/was90ssl/b2bidp/saml2f" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://myadfs/adfs/services/trust</Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<ds:Reference URI="#id-4ba0a2a8-9d62-4dbe-94aa-709f6e188e07">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
<ds:DigestValue>voe5M2YqcIhQIVv77kOKe2cd3UQEaZDqqLuDeDZ7feE=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" />
</samlp:AuthnRequest>
如何在 ADFS AuthN 请求中包含 ConsumerAssertionUrl?
【问题讨论】:
标签: powershell saml adfs