Необходима е помощ за SAML 2.0 и ADFS 2.0!

Докато се опитвах да науча средата на ADFS 2.0, създадох празно ASP.NET Claims Aware приложение, което да бъде RP с помощта на Visual Studio 2010.

с помощта на ADFS 2.0 направих следното:

  1. Създадена SAML 2.0 разчитаща страна с помощта на съветника „Добавяне на доверие на разчитащата се страна...“
  2. Създаден SAML 2.0 доставчик на искове с помощта на съветника „Добавяне на доверие на доставчик на искове...“

Сега направих следните стъпки:

  • Насочен браузър към http://localhost/adfs/IdpInitiatedSignOn.aspx
  • Избрахте RP, дефиниран в стъпка 1 от разгъващия се списък, като сайт за влизане.
  • Избран на следващата страница IDP, дефиниран в стъпка 2 от разгъващия се списък, като удостоверяващ сайт.
  • Щракна върху „Продължи към влизане“

Сега ADFS 2.0 ме пренасочва към URL адреса, конфигуриран за IDP, и SAMLRequest е прикачен към заявката. (което е страхотно)

Въпреки това SAML заявката, пристигнала до IDP, не съдържа ACS URL (По-технически, няма XML възел на „AssertionConsumerServiceURL“),

URL адресът на ACS не е ли задължителен атрибут в SAML заявка?

Благодаря ! Йоаш


asp.net saml adfs2.0 wif geneva-framework
person Joshua    schedule 29.09.2010    source източник

Отговори (1)


arrow_upward
0
arrow_downward

Не, ACS URL адресът не е задължителен атрибут в SAML 2.0 AuthnRequest. Тази информация обикновено се обменя в метаданните, когато настройвате доверителната връзка между IDP и SP. Това опростява проверката на сигурността, която IDP трябва да извърши, ако ACS URL или ACS Index присъства (трябва да бъде същият като метаданните или AuthnRequest ТРЯБВА да бъде цифрово подписан).

Извършихме доста работа по взаимодействието с MS WIF/WCF Claims Aware приложения чрез нашите STS, както и SAML 2.0 с ADFSv2, ако искате повече информация.

person Ian    schedule 12.10.2010
comment
Благодаря ти, Иън, и съжалявам за забавянето на отговора ми. Възможно ли е да накарате ADFS 2.0 да изпрати ACS URL в SAML заявката? - person Joshua; 19.10.2010
comment
Бих предложил да конфигурирате това в IDP, в противен случай ще трябва да подпишете AuthnRequest (съгласно SAML спецификацията), което добавя слой на сложност. Или с PingFederate просто работи и вероятно ще сте готови досега. ADFSv2 е пословично сложен и зле документиран. Само моите $0,02. - person Ian; 21.10.2010