Требуется помощь с SAML 2.0 и ADFS 2.0!

Пытаясь изучить среду ADFS 2.0, я создал пустое приложение, поддерживающее утверждения ASP.NET, которое должно быть RP с помощью Visual Studio 2010.

используя ADFS 2.0, я сделал следующее:

  1. Создана проверяющая сторона SAML 2.0 с помощью мастера «Добавить доверие проверяющей стороны ...»
  2. Создан поставщик утверждений SAML 2.0 с помощью мастера добавления доверия поставщика утверждений ...

Теперь я проделал следующие шаги:

  • Браузер указал на http://localhost/adfs/IdpInitiatedSignOn.aspx
  • В поле со списком выберите RP, определенную на шаге 1, в качестве сайта для входа.
  • На следующей странице выберите IDP, определенный на шаге 2 из поля со списком как аутентифицирующий сайт.
  • Нажмите "Продолжить вход".

Теперь ADFS 2.0 перенаправляет меня на URL-адрес, настроенный для IDP, и к запросу прилагается SAMLRequest. (что здорово)

Однако запрос SAML, поступивший в IDP, не содержит URL-адреса ACS (технически говоря, отсутствует узел XML для «AssertionConsumerServiceURL»),

Разве URL-адрес ACS не является обязательным атрибутом в запросе SAML?

Спасибо ! Йоаш


asp.net saml adfs2.0 wif geneva-framework
person Joshua    schedule 29.09.2010    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Нет, URL-адрес ACS не является обязательным атрибутом в SAML 2.0 AuthnRequest. Эта информация обычно передается в метаданных, когда вы устанавливаете доверительные отношения между IDP и SP. Это упрощает проверку безопасности, которую должен выполнить IDP, если присутствует URL ACS или индекс ACS (должен быть таким же, как метаданные, или AuthnRequest ДОЛЖЕН быть подписан цифровой подписью).

Мы проделали довольно много работы по взаимодействию с приложениями, поддерживающими MS WIF / WCF Claims, через нашу службу STS, а также SAML 2.0 с ADFSv2, если вам нужна дополнительная информация.

person Ian    schedule 12.10.2010
comment
Спасибо, Ян, и извиняюсь за задержку с моим ответом. Можно ли заставить ADFS 2.0 отправлять URL-адрес ACS в запросе SAML? - person Joshua; 19.10.2010
comment
Я бы посоветовал вам настроить это в IDP, иначе вам нужно будет подписать AuthnRequest (согласно спецификации SAML), который добавляет уровень сложности. Или, с PingFederate, это просто работает, и вы, вероятно, к этому моменту закончите. ADFSv2 известен своей сложностью и плохо документирован. Только мои 0,02 доллара. - person Ian; 21.10.2010