SAML协议响应通过ADFS到WIF RP

Question

目前，我们使用ADFS 3.0作为多个客户端IDP和我们的web应用程序之间的联合网关。因此，总而言之，对于客户身份提供商，我们的ADFS充当依赖方，而对于我们内部基于.net的web应用程序(利用WIF框架)，我们的ADFS充当身份提供商。最后，当用户最终使用web应用程序时，我们将收到来自客户端IDPs的所有转换后的声明。我们的一个客户端IDP使用SAML协议，该协议被ADFS很好地转换为WIF声明，web应用程序可以读取这些声明。但我们有了新的要求，我们还需要读取未接触的SAML协议响应，该响应是在SSO握手期间由客户端IDP通过http发布到ADFS的。在ADFS上的HTTP POST期间，我们接收到SAMLResponse和RelayState作为两个不同的参数。现在，此消息被ADFS转换为基于WIF的参数(wa、wresult、wctx)，并发布到我们的web应用程序。我们的web应用程序在ADFS 3.0上充当依赖方，并配置了WS-Federation被动端点。有可能添加额外的SAML断言消费者。但我不确定如何混合和匹配多个端点？任何想法，我将如何获得SAMLResponse参数，这是最初发布在ADFS上。这是可以实现的吗？

提前感谢！

Answer 1

仅将SAMLResponse发送到一个EndPoint。添加EndPoint不会为您提供额外的副本。

ADFS没有"span“端口(日志的传出副本)。反向代理/负载均衡器通常具有“复制”端口功能。但是如果SAML令牌是加密的，那么您仍然需要ADFS解密证书的私钥。

大量的工作。