Я пытаюсь настроить ADFS
работать как Claim Provider
(Я полагаю, AD будет identity provider
в таком случае).
Просто для простого тестирования я попробовал следующее на windows server 2016
машина:
1) Настроить AD и домен = t1.testdom
(Его рабочая причина, по которой я действительно могу войти в систему с доменом)
2) Настройте DNS. Добавлен хост (A) для adfs как fs.t1.testdom
3) самоподписанный сертификат (https://technet.microsoft.com/library/hh848633):
powershell> New-SelfSignedCertificate -DnsName "*.t1.testdom"
4) настроить ADFS.
Имя сервера установлено как fs.t1.testdom
service> метод аутентификации включен как form authentication
5) Также исправлено SPN через PowerShell, чтобы убедиться, что все необходимые SPN есть и переданы правильной учетной записи пользователя, а дубликаты не найдены.
-
Однако, когда я пытаюсь получить доступ к странице входа в браузере через https://fs.t1.testdom/adfs/ls
Я получаю ошибку. В диспетчере входа в систему указано следующее:
`There are no registered protocol handlers on path /adfs/ls to process the incoming request`
Так есть ли способ добраться хотя бы до экрана входа в систему? Итак, я могу перейти к следующей ошибке.
это то, что я получаю на /ls
экран:
Наконец нашел решение после недели гугла, попыток, восстановления сервера и т. Д.!
(Этот гуру ответил на него мгновенно, и никто этого не знал! https://www.experts-exchange.com/questions/28994182/ADFS-Passive-Request-There-are-no-registered-protocol-handlers.html)
Страница SSO, инициированная поставщиком идентификационной информации (https: //fs.t1.testdom/adfs/ls/idpinitiatedsignon.aspx). Обратите внимание: если вы используете Server 2016, эта конечная точка отключено по умолчанию и вам нужно сначала включить его через консоль AD FS или
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
-
У меня вопрос: если эта конечная точка отключена, почему она не указана в разделе конечных точек консоли управления ADFS как таковая? !! Он сказал enabled
все это время вон там. И эта болезненная, неотслеживаемая ошибка в журнале не имеет никакого смысла! Все окна создают журналы, журналы и журналы, но это журнал ошибок, который мы получаем!
1.Если вы хотите проверить, работает ли ADFS, вы должны получить доступ к странице IDPInitiatedSignon с URL: https: // <ADFSExternalDNSName> /adfs/ls/IdpInitiatedSignon.aspx
а также страницу метаданных с URL: https: // <ADFSExternalDNSName> /federationmetadata/2007-06/federationmetadata.xml
Подробнее об этом можно узнать Вот.
2. Не рекомендуется использовать имя хоста в качестве имени службы федерации. Правильный способ - создать запись хоста DNS (A) в качестве имени службы федерации, например, в вашем случае используйте sts.t1.testdom.
Трудно сказать вам, в чем может быть проблема без журналов или подробной конфигурации вашего ADFS, но, чтобы сузить круг вопросов, я предлагаю вам:
telnet adfs.t1.testdom 443
Надеюсь, это поможет.