反向代理和ws-federation adfs 401问题

Question

我们有几个后端web应用程序，我们希望通过公共互联网提供访问。为此，我们从DMZ设置了一个反向代理(IIS 7.5)。同时，我们希望这些web应用程序能够通过ADFS 2.0支持声明。

WEB1.MYCORP.COM/WFE1 is the other back-end web application, on our internal network
WEB1.MYCORP.COM/WFE2 is the other back-end web application, on our internal network
ADFS.MYCORP.COM is the ADFS 2.0 server, on our internal network
FSPROXY.MYCORP.COM is the ADFS 2.0 proxy server, on our DMZ
RPROXY1.MYCORP.COM is the reverse proxy for WFE1, on our DMZ
RPROXY2.MYCORP.COM is the reverse proxy for WFE2, on our DMZ 

为了与ADFS的正确配置保持一致，内部DNS将ADFS.MYCORP.COM解析到实际的内部服务器，而外部DNS将ADFS.MYCORP.COM指向ADFS代理(FSPROXY)。

所以，这是一个场景：

End user browses to RPROXY.MYCORP.COM
Reverse proxy forwards request to WEB1.MYCORP.COM/WFE1
WFE1 redirects browser to ADFS.MYCORP.COM (actually FSPROXY)
ADFS Proxy prompts for credentials and authenticates against ADFS server
Upon successful authentication, browser redirected back to web app 

我有几个问题。我是否需要在rp或应用程序中配置某些内容才能允许此操作。另外，adfs端点是rp url，这有问题吗？

我也需要为反向代理设置一些东西吗？(我是否应该/是否可以)在IIS中设置启用声明的反向代理？如何设置反向代理规则以原封不动地传回ADFS请求？目前，当我尝试访问后端应用程序时，它失败了，并出现了401身份验证错误。如果我移除代理，只需点击应用服务器，它就能正常工作。

此外，此操作将失败:路径为client --> rp -->app -->adfs --> rp -->app --> rp -->client machine

这是可行的:路径是client -->rp -->app -->adfs -->app -->rp -->client machine

如有任何建议，我们将不胜感激！

Answer 1

不熟悉如何在IIS中启用反向代理(ARR?)。类似这样的http://blogs.iis.net/carlosag/setting-up-a-reverse-proxy-using-iis-url-rewrite-and-arr

您的一个选择是使用ADFS 2012R2 (如果可能)，因为其中的代理，即Web应用程序代理，可以处理ADFS身份验证，并可以处理支持声明的应用程序的应用程序发布。有两种方法可以将你的应用发布到互联网上。一次是直通，这就是你想要做的。但它也允许对索赔感知应用程序提供预身份验证支持。通过这种方式，您可以使用不同的策略来决定应用程序是否可以在数据包到达内部应用程序之前通过您的边缘网络。

Answer 2

在进行了大量的挖掘和跟踪之后，我发现了问题所在。在测试idp设置时，令牌与阶段env不同。小提琴手的跟踪显示，令牌正在返回应用程序服务器。问题是它看起来也像是饼干无缘无故地掉了下来。这个问题是因为旧的dev ipd值与阶段value...naturally不一致。一旦我从数据库中清除了旧令牌，一切都正常了。