1. Accueil
  2. Question et réponse
  3. ADFS, IdP initié SAML post

ADFS, IdP initié SAML post

2015-08-31 4 views
0

Nous avons une application .NET prenant en charge les revendications. Nous avons deux clients avec leurs propres annuaires actifs qui veulent accéder à l'application. Un client utilise ADFS, qui est configuré en tant que fournisseur de réclamations dans notre système ADFS. Leur accès fonctionne comme un charme. Maintenant, le deuxième client n'utilise pas ADFS. Ils veulent faire un POST non sollicité à notre ADFS avec le jeton SAML qu'ils vont composer. Nous les avons configurés comme un autre fournisseur de réclamations. Ils POSTENT leur SAML à https://ouradfsserver/adfs/ls/IdPInitiatedSignon.aspx. Nous sommes au point où le serveur dit "Vous êtes connecté" et leur demande de sélectionner une application à partir d'une liste déroulante (il n'y en a qu'une). Lorsqu'ils le font, ADFS tente à nouveau de rediriger vers Identity Provider pour identifier l'utilisateur, ce qui n'est pas possible, car aucun point de terminaison n'est disponible pour interroger. Quelqu'un a-t-il déjà vu ce problème ou a-t-il de l'expérience avec ce type d'arrangement? Comme je le vois, soit ADFS ne pas analyser le jeton SAML correctement et créer un contexte de sécurité pour l'application, ou il ne sait pas comment rediriger correctement vers l'application. Tous les pointeurs seraient vraiment appréciés!ADFS, IdP initié SAML post

Source

2015-08-31 Alex Polkhovsky

Répondre

3

Vous devez activer RelayState pour passer le contexte d'authentification lors de l'utilisation de l'authentification unique initiée par IDP dans ADFS.

S'il vous plaît consulter le lien ci-dessous pour comprendre RelayState:

https://technet.microsoft.com/en-us/library/jj127245%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

et adressez-vous à ce poste pour obtenir des instructions pour activer l'état du relais:

https://jorgequestforknowledge.wordpress.com/2014/10/16/enabling-relaystate-in-adfs-versions/ (pour toutes les versions ADFS)

Avez-vous remarqué des erreurs dans le journal des événements? Jetez un oeil à cet article pour plus de détails: https://jorgequestforknowledge.wordpress.com/2014/10/24/enabling-idp-initiated-sign-on-in-adfs/

Source

2015-09-01 02:53:57 Karthik

+2

Merci. Nous les avons fait ajouter un paramètre RelayState à leur message POST et cela a fonctionné. POSTER un RelayState en suivant les instructions de votre premier lien a entraîné des erreurs. Lorsque vous faites POST, n'encodez pas la valeur. Nous avons défini la valeur à 'RPID = https: // appurl' et cela a fonctionné. J'espère que cela aide quelqu'un d'autre aussi. –

+0

@KingJulian - Glad qui a aidé :) – Karthik

 Questions connexes

  • Aucun problème connexe^_^