Windows NT令牌带有ADF，以获得远程用户角色

Question

我创建了一个ADFS Windows NT启用TokenApp配置的IIS 7，以启用身份验证中的Windows NT令牌，并将URL回复为 https://adfsweb.treyresearch.net/tokenapp

我将此应用程序添加到ADFSource应用程序中，作为基于Windows NT令牌的应用程序。

使用此web.config文件（http://blogs.technet.com/b/adfs_documentation/archive/Archive/2006/08/03/4444865.aspx#dsdoc_bkmk_667328988_f5b_f5b_4446a_92611_9261_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_9261_92616a_9261_92611_92616a））

如下所示的default.aspx.cs。

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security.Principal;

public partial class _Default : System.Web.UI.Page 
{
    protected void Page_Load(object sender, EventArgs e)
    {
        Label1.Text = HttpContext.Current.User.Identity.Name;
        WindowsIdentity i = (WindowsIdentity)HttpContext.Current.User.Identity;

        IdentityReferenceCollection irc = i.Groups;

        foreach (IdentityReference ir in irc)
        {
            Label2.Text += ir.Translate(typeof(NTAccount)).Value.ToString() + "; ";

        }

    }
}

只要我使用网络用户TreyResearch从ADFSources域登录，它就可以工作。

如果我从adatum.com域中使用此TokenAppp URL，我会发现一个错误，并且在ADFSOURCE服务器的事件日志上，我有此错误：

Event code: 4011 
Event message: An unhandled access exception has occurred. 
Event time: 11/29/2011 7:20:26 PM 
Event time (UTC): 11/30/2011 1:20:26 AM 
Event ID: ac49318023ee4ba4ab7ab6e0bca78522 
Event sequence: 5 
Event occurrence: 2 
Event detail code: 0 

Application information: 
    Application domain: /LM/W3SVC/1/ROOT/adfs-1-129670890061718750 
    Trust level: Full 
    Application Virtual Path: /adfs 
    Application Path: C:\Windows\SystemData\ADFS\sts\ 
    Machine name: ADFSRESOURCE 

Process information: 
    Process ID: 1892 
    Process name: w3wp.exe 
    Account name: NT AUTHORITY\NETWORK SERVICE 

Request information: 
    Request URL: https://adfsresource.treyresearch.net:443/adfs/ls/clientlogon.aspx 
    Request path: /adfs/ls/clientlogon.aspx 
    User host address: 192.168.10.133 
    User:  
    Is authenticated: False 
    Authentication Type:  
    Thread account name: NT AUTHORITY\NETWORK SERVICE 

Custom event details: 

这是否意味着我需要在ADFS Trust的基础上让Windows Trust将Windows NT令牌用于远程域？如果是这样，那么如果我还需要拥有Windows域信任，那么拥有ADFS信任是没有意义的。

我可以使我的索赔应用程序从远程域正确工作，但是在所有信托策略导入均已完成后，我添加了这个新的tokenapp http://technet.microsoft.com/en-us/library/cc731103%28ws.10%29.aspx

我还遵循并在下面验证了此信息http://technet.microsoft.com/en-us/library/cc734929%28ws.10%29.aspx

Answer 1

一个警告 - 您引用的文章是在2006年撰写的，并谈论了Web代理 - 换句话说，它是ADFS 1。

ADFS 2几乎是一种新产品。它在2010年发布，不再具有代理商的概念。

Windows Server 2008标准配置的ADFS“功能”不是1。您必须下载2并安装它。

附录A：审查AD FS 2.0要求 状态“ AD FS 2.0不支持Windows NT代币的应用程序。”

但是，它确实支持C2WT（Windows令牌服务声明）。