集成Sharepoint 2010、ADFS2.0和ThinkTecture IdentityServer

Question

我有以下情况：

• Sharepoint 2010与基于索赔的身份验证web应用程序。
• ADFS2.0已将索赔提供程序信任配置为ThinkTecture IdentityServer。
• ThinkTecture IdentityServer将ADFS2.0配置为依赖方。
• SharePoint2010配置了指向ADFS2.0的SPTrustedIdentityTokenIssuer。

现在，当我登录到Sharepoint时，当我选择身份提供者时，我被重定向到ADFS2.0主页。然后我被重定向到ThinkTecture IdentityServer。然后，我使用来自IdentityServer的凭据登录，然后被重定向回ADFS，然后返回到Sharepoint。问题是，sharepoint显示错误消息。我正在从sharepoint添加日志记录：

通过登录提供程序进行身份验证。验证请求安全令牌.

可信登录提供程序“SAML2提供程序”没有发送已配置的输入标识声明类型'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'

SPSecurityTokenService.Issue()失败: System.ServiceModel.FaultException:受信任的登录提供程序没有提供此场接受的令牌。

Microsoft.SharePoint.IdentityModel.SPSecurityTokenService.SPRequestInfo.ValidateTrustedLoginRequest()的

拒绝访问:需要身份验证。

我发现，从Identity Server返回给ADFS的令牌包含emailaddress声明，但从ADFS返回到SP的令牌不包含。这很奇怪，因为我将ADFS配置为支持emailaddress来传递所有索赔(在索赔提供程序中，信任身份服务器)。我需要在其他地方安装adfs吗？我是广告新手。

我想要实现的是通过ADFS将我的请求转发到IdentityProvider (在本例中是ThinkTecture IdentityServer)，并从IdentityProvider获得令牌。ThinkTecture IdentityServer只在我的测试环境中，在实际环境中，它将被Oracle所取代。

目标问题是将Sharepoint 2010与Oracle身份联盟集成。但问题是，Sharepoint不支持SAML 2协议，OIF将提供SAML 2协议作为唯一端点绑定。因此，我试图用ADFS (类似于代理)来破解它，它将与基于SAML 1.1的Sharepoint通信，而与基于SAML 2的OIF通信。

这是从IdP元数据中提取的以下内容：

<md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">... 

所以我没有选择使用WS联邦。

如果这是一个如何达到所需行为的好方法，我将不胜感激。

谢谢

Answer 1

那么您的路径是SP -> ADFS -> IdentityServer吗？

问题是电子邮件地址没有被传递出去。因此，您必须设置IdentityServer以生成电子邮件地址声明，并且必须设置ADFS以传递所有声明。然后将SP配置为接受电子邮件地址作为声明(使用SP Powershell命令)。

添加:您需要为ADFS中的电子邮件索赔创建传递请求规则--无论是对于索赔提供者信任还是对依赖方信任。

法语国家支持WS-联邦-参考ORACLE联合会11g R2 -所以没有问题的联邦OIF与SP。