У меня есть собственный STS (CSTS), работающий отлично. Теперь мы хотим выполнить интеграцию с клиентскими ADFS и Azure AD, определенными на основе электронной почты пользователя.
В качестве первой тестовой установки я настроил свой локальный экземпляр CSTS (на основе локального хоста) для перенаправления на тестовый Azure AD. Этот тестовый Azure AD был настроен с учетными записями администратора и тестовыми учетными записями, двумя приложениями, такими как showclaims, и моим CSTS на основе локального хоста.
Когда пользователь пытается войти в систему, я перенаправляю с помощью WS-Federation в Azure AD для аутентификации пользователя. Идея состоит в том, чтобы вернуть токен в мой CSTS, создать пользователя в моей системе, если он не существует (автоматическая инициализация), и сгенерировать утверждения, объединить утверждения и отправить токен проверяющей стороне, от которой пользователь переходит в мою CSTS, действующую как Р-СТС.
Однако я считаю, что где-то в конфигурации Azure AD я наткнулся на препятствие. Когда я пытаюсь войти с учетной записью администратора в свой CSTS или тестовое приложение, перенаправленное для тестирования Azure AD, я получаю следующую ошибку:
У пользователя нет доступа к приложению.
ACS50001: ACS50001: Проверяющая сторона с идентификатором https://localhost/myCSTS/ не найдена
Я где-то читал, что администратор / пользователь должен дать согласие на предоставление доступа к приложению. Однако я не могу найти такую конфигурацию где-либо на страницах конфигурации пользователя или приложения в Azure AD.
Итак, вопросы следующие:
1. Почему говорится, что проверяющая сторона не найдена, и кажется, что это ошибка ACS?
2. Нужно ли настраивать ACS для использования этой тестовой AD? В этом случае моим поставщиком идентификаторов будет внутренняя служба маркеров безопасности ACS (или другой настроенный поставщик идентификаторов), а не Azure AD.
3. Где я могу дать согласие на доступ к приложениям?
4. Должен ли я включать многофакторную аутентификацию, чтобы это работало?
5. Можно ли использовать приложения на основе localhost для тестирования в Azure AD? Это не выдает ошибки, но я также не видел образцов с использованием localhost. (Я действительно не могу использовать зарегистрированное доменное CSTS / тестовое приложение для моего тестирования.)
Будем признательны за любые ответы!
