如何使ADFS3.0将"whr“参数传递给ADFS2.0索赔提供程序？

Question

我有下一个配置

1. 一些基于Dynamics 2013年的网络应用和基于SharePoint 2010的门户网站。
2. Dynamic有通过ADFS3.0的声明认证，SharePoint有通过ADFS2.0的认证
3. ADFS3.0与那里的索赔提供者信任的ADFS2.0联合起来。因此，ADFS2.0的用户可以在任何地方登录。两个ADFSs都被配置为使用WS-Federation，而不是SAML。
4. ADFS 2.0有几个索赔提供者信托- AD和其他第三方ADFS。
5. ADFS3.0被配置为自动实现本地领域发现，但是当用户登陆到ADFS2.0时，他可以在那里看到主领域发现页面。

目标是拥有最大限度的自动家庭领域发现。

主要问题:在重定向到ADFS2.0时，是否可以配置/修改/hack ADFS3.0以包含具有所需的索赔提供程序信任的whr参数？

我用fiddler手动注入它进行了调试，这种方法是有效的。然而，搜索一个网站的方法和没有运气。

目前，我看到了几种解决方案：

1. 在ADFS3.0设置中将?whr="<ClaimsProviderId>"添加到WS-联邦端点(如https://<ADFS2.0URL>/adfs/ls?whr="<ClaimsProviderId>" )。但不确定它会起作用。
2. 将onload.js修改为硬代码，在ADFS3.0侧使用whr参数重定向。
3. 在ADFS2.0端为主领域发现页面做一个mod，它将分析来自ADFS3.0的wtrealm参数并选择所需的索赔提供程序。

你还有别的主意吗？

Answer 1

如果可能的话，这在ADFS3服务器本身上会很困难。

你试过在RP (客户关系管理和SharePoint)中添加它吗？那应该管用。除非有一些零碎的问题可以解决。

如果来自CRM的所有用户都必须使用同一个CP，那么您可以选择“3”。也应该起作用。