構成:IdPとしてのADFS 2.0(WS-FederationとSAML 2.0がサポートされます)、サービスプロバイダとしてのASP.NETアプリケーション。 SPSがWS-Federation標準(WIFを使用)でADFSを要求すると、新しいセッションが開始されていてもログインポップアップウィンドウなしでADFSに自動的にログインできるようになり、Kerberosトークンは期待通りに機能します。しかし、SAML 2.0(ComponentSpace.SAML.2 libが使用されている)の場合、IE9を開いてADFSにリダイレクトするたびに、標準の小さなポップアップログインウィンドウにWindowsドメインの資格情報を入力するように求められます。 WS-Fedの場合のようにこのウィンドウを取り除くことを可能にするSAML 2.0のパラメータやその他のテクニックはありますか?おかげSAMLを使用した透過的SSO(IE、SAML 2.0、ADFS、Kerberos認証)
adfsserver.us.mycompanyname.com/adfs/lsはインターネットゾーンにあり、自動ログインは行われません。
adfsserver/adfs/lsは、IEのイントラネットゾーンにあり、自動的にログインします。
adfsserver.us.mycompanyname.comを信頼済み(またはイントラネットゾーン)のサイトリストに追加すると、資格情報の入力を求められません。
は試してみてください。SAML 2.0認証要求のこの部分でurn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport :urn:federation:authentication:windowsの代わりに、それは答えではないのです
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:authentication:windows</saml:AuthnContextClassRef>
残念ながら、私はComponent Space SAML v.2でそれを行う方法を見つけることができません。 SAML 2.0認証要求を形成するために使用されるAuthnRequestオブジェクトがありますが、内部にはこの認証クラス参照に関するものはありません。 – YMC
、それはむしろ私の質問へのアップデートだが、それが重要だと私は決めましたもっと注意を引く答えとしてそれを置くこと。私が数日間SAMLパラメータを試してみたことは、プロトコル(WS-Federation/SAML2)に依存していないようです。実際に依存しているのは、長い/短いadfsサーバのドメイン名なので、https://adfsserver.us.mycompanyname.com/adfs/lsのような認証要求によってこのウィンドウが表示されますが、https://adfsserver/adfs/lsは表示されません。しかし、SAML 2.0には短いドメイン名を使用できません。「MSIS1006:設定されたパッシブエンドポイント「https://adfsserver.us.mycompanyname.com/adfs/ls/」はプレフィックスではありません着信SAMLメッセージの宛先URI「https:// adfsserver/adfs/ls/'」を返します。私たちは、ローカルイントラネットでのみSSOを使用しているので、なぜこの例外が発生するのか分かりません。回避策はありますか?
あなたは下記の手順に従ってパッシブエンドポイントのサーバーを変更することができます。
http://breakingdevelopment.blogspot.in/2012/12/adfs-msis1006-i-am-working-on-sso.html
RP内でSAMLのサポートは何ですか?あなたはWIFを使っていますか? – nzpcmad
ComponentSpace.SAML.2ライブラリは、ライブラリに付属のサンプルと同様に、ADFS 2.0にユーザーをリダイレクトするために使用されます。 POSTプロトコルが使用されています – YMC