ADFSを使用したWindowsNTトークンは、リモートユーザーロールを取得する
-
25-10-2019 - |
質問
ADFS Windows NTが有効になったTokenApp構成IIS 7を作成して、認証でWindows NTトークンを有効にし、URLに応答しました https://adfsweb.treyresearch.net/tokenapp
このアプリをWindows NTトークンベースのアプリケーションとしてADFSResourceアプリケーションに追加しました。
Using this web.config file (http://blogs.technet.com/b/adfs_documentation/archive/2006/08/03/444865.aspx#DSDOC_BKMK_667328988_f5db_446a_9261_00b4)
以下のDefault.aspx.cs。
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security.Principal;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
Label1.Text = HttpContext.Current.User.Identity.Name;
WindowsIdentity i = (WindowsIdentity)HttpContext.Current.User.Identity;
IdentityReferenceCollection irc = i.Groups;
foreach (IdentityReference ir in irc)
{
Label2.Text += ir.Translate(typeof(NTAccount)).Value.ToString() + "; ";
}
}
}
ネットユーザーであるtreyResearchを使用して、ADFSRESOURCESドメインからログインする限り機能します。
adatum.comドメインからこのtokenAppp URLを使用すると、エラーが発生し、adfsresourceサーバーのイベントログでこのエラーがあります。
Event code: 4011
Event message: An unhandled access exception has occurred.
Event time: 11/29/2011 7:20:26 PM
Event time (UTC): 11/30/2011 1:20:26 AM
Event ID: ac49318023ee4ba4ab7ab6e0bca78522
Event sequence: 5
Event occurrence: 2
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/1/ROOT/adfs-1-129670890061718750
Trust level: Full
Application Virtual Path: /adfs
Application Path: C:\Windows\SystemData\ADFS\sts\
Machine name: ADFSRESOURCE
Process information:
Process ID: 1892
Process name: w3wp.exe
Account name: NT AUTHORITY\NETWORK SERVICE
Request information:
Request URL: https://adfsresource.treyresearch.net:443/adfs/ls/clientlogon.aspx
Request path: /adfs/ls/clientlogon.aspx
User host address: 192.168.10.133
User:
Is authenticated: False
Authentication Type:
Thread account name: NT AUTHORITY\NETWORK SERVICE
Custom event details:
これは、リモートドメインにWindows NTトークンを使用するには、ADFSトラストの上にWindows Trustが必要であることを意味しますか?もしそうなら、Windowsドメイントラストも必要な場合は、ADFSトラストを持つことには意味がありません。
クレームアプリをリモートドメインから正しく動作させることができますが、すべての信頼ポリシーエクスポートのインポートが完了した後、この新しいTokenAppを追加しました http://technet.microsoft.com/en-us/library/cc731103%28ws.10%29.aspx
また、以下のこの情報をフォローし、検証しましたhttp://technet.microsoft.com/en-us/library/cc734929%28ws.10%29.aspx
解決
警告の言葉 - あなたが参照する記事は2006年に書かれ、ウェブエージェントについて語っています - 言い換えれば、それはADFS 1です。
ADFS 2はほとんど新製品です。 2010年に発表され、エージェントの概念はなくなりました。
Windows Server 2008に標準装備されているADFS「機能」は1ではありません。2ではありません。2をダウンロードしてインストールする必要があります。
付録A:広告FS 2.0の要件のレビュー 「AD FS 2.0は、Windows NTトークンベースのアプリケーションをサポートしていません。」
ただし、C2WTSをサポートしています(Windowsトークンサービスの主張)。