Windows NT avec jeton ADFS pour obtenir des rôles d'utilisateur à distance
-
25-10-2019 - |
Question
J'ai créé un Windows NT ADFS activé TokenApp Configuré IIS 7 à Windows NT jeton dans activé l'authentification et la réponse url comme https://adfsweb.treyresearch.net/tokenapp
J'ai ajouté cette application dans l'application adfsresource que Windows NT jeton application.
L'utilisation de ce fichier web.config (http://blogs.technet.com/b/adfs_documentation/archive/2006/08/03/444865.aspx#DSDOC_BKMK_667328988_f5db_446a_9261_00b4)
Les default.aspx.cs comme ci-dessous.
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security.Principal;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
Label1.Text = HttpContext.Current.User.Identity.Name;
WindowsIdentity i = (WindowsIdentity)HttpContext.Current.User.Identity;
IdentityReferenceCollection irc = i.Groups;
foreach (IdentityReference ir in irc)
{
Label2.Text += ir.Translate(typeof(NTAccount)).Value.ToString() + "; ";
}
}
}
Il fonctionne aussi longtemps que je me connecte à partir du domaine de adfsresources avec treyresearch, net user.
Si j'utilise cette url tokenappp de adatum.com domaine j'obtiens une erreur, et le journal des événements du serveur adfsresource i cette erreur:
Event code: 4011
Event message: An unhandled access exception has occurred.
Event time: 11/29/2011 7:20:26 PM
Event time (UTC): 11/30/2011 1:20:26 AM
Event ID: ac49318023ee4ba4ab7ab6e0bca78522
Event sequence: 5
Event occurrence: 2
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/1/ROOT/adfs-1-129670890061718750
Trust level: Full
Application Virtual Path: /adfs
Application Path: C:\Windows\SystemData\ADFS\sts\
Machine name: ADFSRESOURCE
Process information:
Process ID: 1892
Process name: w3wp.exe
Account name: NT AUTHORITY\NETWORK SERVICE
Request information:
Request URL: https://adfsresource.treyresearch.net:443/adfs/ls/clientlogon.aspx
Request path: /adfs/ls/clientlogon.aspx
User host address: 192.168.10.133
User:
Is authenticated: False
Authentication Type:
Thread account name: NT AUTHORITY\NETWORK SERVICE
Custom event details:
Est-ce que cela signifie que je dois avoir confiance de Windows sur la confiance ADFS pour utiliser Windows NT jeton pour les domaines distants? s'il n'y a pas de point d'avoir confiance ADFS, si je dois aussi avoir des fenêtres de confiance de domaine.
Je peux obtenir mon application de réclamation pour fonctionner correctement de domaine distant, mais j'ajouté ce nouveau TokenApp après tout l'importation politique de confiance à l'exportation a été achevée http://technet.microsoft.com/en-us/library/cc731103%28WS.10%29.aspx
J'ai également suivi et vérifié cette information ci-dessous http://technet.microsoft.com/en-us /library/cc734929%28WS.10%29.aspx
La solution
Un mot d'avertissement - que l'article que vous référence a été rédigé en 2006 et parle agents web - en d'autres termes, il est ADFS 1.
ADFS 2 est à peu près d'un nouveau produit. Il est sorti en 2010 et n'a plus le concept d'agents.
Le ADFS "caractéristique" qui est livré en standard avec Windows Server 2008 est de 1 pas 2. Vous devez télécharger 2 et l'installer.
Annexe A: Examen AD FS 2.0 Exigences déclare "AD FS 2.0 ne prend pas en charge Windows NT applications à base de jetons."
Il le fait, cependant, C2WTS de soutien (réclamations au service Windows Token).