Мы находимся в процессе настройки нашего сервера ADFS, чтобы разрешить SMAL-аутентификацию из стороннего веб-приложения.
Мы немного сбиты с толку из-за перечисленного ниже:
Мы получили файл метаданных и шаги настройки от проверяющей стороны. Мы настроим, как предложено проверяющей стороной. У меня вопрос: нужно ли предоставлять их взамен, чтобы система единого входа работала? Например, сертификат или какая-либо информация о конфигурации с наших серверов ADFS?
Нам нужно установить флаг ForceAuthn на нашем сервере ADFS. Где нам нужно установить этот флаг?
Любой указатель на эти вопросы приветствуется.
Обратите внимание, что аутентификация осуществляется с веб-адреса на сервер ADFS.
Спасибо Ник
URL-адрес метаданных AD FS должен быть предоставлен проверяющей стороне. Скорее всего, они позволят вам самостоятельно выполнить соответствующую настройку на каком-либо веб-портале. URL-адрес ваших метаданных приведен ниже. замените sts.contoso.com соответствующим именем службы https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml . Доступ к этому URL осуществляется анонимно без какой-либо аутентификации и в идеале должен быть доступен в Интернете. В противном случае вы должны получить к нему внутренний доступ с помощью веб-браузера, сохранить его как XML и предоставить проверяющей стороне.
ForceAuthn - это то, как вы каждый раз вызываете новую аутентификацию на IDP (AD FS). Если выполнение входа в систему инициировано SP, то они (проверяющая сторона) должны отправить его в сгенерированном ими samlp: authnrequest. Другой вариант - настроить -AlwaysRequireAuthentication на $ true с помощью командлета set-adfsrelyingpartytrust. Это работает только для AD FS на базе Windows Server 2012 R2.
Им также, вероятно, понадобится открытый ключ вашего сертификата для подписи токена.
Инструкции по экспорту можно найти здесь: https://technet.microsoft.com/en-us/library/cc737522(v=ws.10).aspx