ADFS 2.0、SSO和SAML 2.0

Question

这是一个经典的例子，太多的信息=太多的混乱。我有一个ASP.NET web应用程序，它使用常见的POST表单身份验证，并希望实现单点登录。因为我们是微软的一个商店，所以我们将使用ADFS 2.0。为了实现SSO，我知道我还需要使用WIF来处理SAML请求？是否将WIF安装在与ADFS相同的服务器下？

我仍然希望重定向失败的SSO请求或非SSO请求以使用表单，我该如何处理？

有人能描述一下流程吗？

谢谢!

Answer 1

所以你正在使用SAML到一些第三方的STS？

WIF (开箱即用)不支持SAML。

有一个WIF SAML扩展，但在这一点上这只是CTP (社区技术预览)。

WIF与您的ASP.NET应用程序集成在一起。对于.NET 4和更低版本，有一个单独的下载。对于.NET 4.5，它是集成的。

WIF只是应用程序中的一组.NET类。

您可以使用一个名为FedUtil的工具将WIF与您的ASP.NET应用程序集成，该工具是WIF下载的一部分。(由VS中的"Add STS“调用)。

ADFS安装程序会在服务器上安装WIF，但这与您的应用程序是分开的。

流程是：

.NET应用程序--> (WIF) --> (WS-联合) --> ADFS --> (SAML) --> STS

Answer 2

ADFS支持两种身份验证协议。1) WS-Federation协议2) Web SSO SAML协议

*用于应用程序和ADFS之间单点登录的Ws- scenario*中的联合(建立信任关系)。

1)  Install ADFS & WIF on one server , Create some users in AD. 

2) Generate Federation Metadata.xml file in ADFS, save it one place for
future need. 

3)  Use Windows Azure Access Control Service(ACS) for
simplicity. (It will do all heavy lifting of your  authentication
process of token coming from ADFS) 

4)  Generate Federation
Metadata.xml file in ACS and Import in your ADFS server as relying
party. (give some claims as well) 

http://blogs.msdn.com/b/card/archive/2010/06/25/using-federation-metadata-to-establish-a-relying-party-trust-in-ad-fs-2-0.aspx?Redirected=true

5)  Import federation metadata.xml
file from ADFS server to ACS and Add it as Identity provider. (add
claim processing rule) 

6)  Now in your web Application use WIF
FedUtil Tool and import ACS federation metadata.xml file.

就是这样..你可以走了..

对于Web SSO SAML协议，您必须手动编写代码。

UseCase：

ADFS用户将访问您的application.

• User未通过身份验证，因此他将转到

1. 并将其重定向到ADFS登录页面。
2. 用户输入凭据。ADFS向带有某些声明的ACS发出令牌。ACS将转换传入的ADFS声明，并将其提供给您的application.
3. your应用程序现在已通过身份验证，因此您可以使用声明并执行授权工作。

你可以使用URL方案来检查这个请求应该去哪里，你的表单身份验证或身份验证。。：http://somedomain.com/forms或http://somedomain.com/ADFS