Windows NT令牌带有ADF,以获得远程用户角色
-
25-10-2019 - |
题
我创建了一个ADFS Windows NT启用TokenApp配置的IIS 7,以启用身份验证中的Windows NT令牌,并将URL回复为 https://adfsweb.treyresearch.net/tokenapp
我将此应用程序添加到ADFSource应用程序中,作为基于Windows NT令牌的应用程序。
使用此web.config文件(http://blogs.technet.com/b/adfs_documentation/archive/Archive/2006/08/03/4444865.aspx#dsdoc_bkmk_667328988_f5b_f5b_4446a_92611_9261_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_92616a_9261_92616a_9261_92611_92616a))
如下所示的default.aspx.cs。
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security.Principal;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
Label1.Text = HttpContext.Current.User.Identity.Name;
WindowsIdentity i = (WindowsIdentity)HttpContext.Current.User.Identity;
IdentityReferenceCollection irc = i.Groups;
foreach (IdentityReference ir in irc)
{
Label2.Text += ir.Translate(typeof(NTAccount)).Value.ToString() + "; ";
}
}
}
只要我使用网络用户TreyResearch从ADFSources域登录,它就可以工作。
如果我从adatum.com域中使用此TokenAppp URL,我会发现一个错误,并且在ADFSOURCE服务器的事件日志上,我有此错误:
Event code: 4011
Event message: An unhandled access exception has occurred.
Event time: 11/29/2011 7:20:26 PM
Event time (UTC): 11/30/2011 1:20:26 AM
Event ID: ac49318023ee4ba4ab7ab6e0bca78522
Event sequence: 5
Event occurrence: 2
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/1/ROOT/adfs-1-129670890061718750
Trust level: Full
Application Virtual Path: /adfs
Application Path: C:\Windows\SystemData\ADFS\sts\
Machine name: ADFSRESOURCE
Process information:
Process ID: 1892
Process name: w3wp.exe
Account name: NT AUTHORITY\NETWORK SERVICE
Request information:
Request URL: https://adfsresource.treyresearch.net:443/adfs/ls/clientlogon.aspx
Request path: /adfs/ls/clientlogon.aspx
User host address: 192.168.10.133
User:
Is authenticated: False
Authentication Type:
Thread account name: NT AUTHORITY\NETWORK SERVICE
Custom event details:
这是否意味着我需要在ADFS Trust的基础上让Windows Trust将Windows NT令牌用于远程域?如果是这样,那么如果我还需要拥有Windows域信任,那么拥有ADFS信任是没有意义的。
我可以使我的索赔应用程序从远程域正确工作,但是在所有信托策略导入均已完成后,我添加了这个新的tokenapp http://technet.microsoft.com/en-us/library/cc731103%28ws.10%29.aspx
我还遵循并在下面验证了此信息http://technet.microsoft.com/en-us/library/cc734929%28ws.10%29.aspx
解决方案
一个警告 - 您引用的文章是在2006年撰写的,并谈论了Web代理 - 换句话说,它是ADFS 1。
ADFS 2几乎是一种新产品。它在2010年发布,不再具有代理商的概念。
Windows Server 2008标准配置的ADFS“功能”不是1。您必须下载2并安装它。
附录A:审查AD FS 2.0要求 状态“ AD FS 2.0不支持Windows NT代币的应用程序。”
但是,它确实支持C2WT(Windows令牌服务声明)。