MVC 5，WIF（System.IdentityModel）＆amp; ADFS实际上没有进行身份验证，联合注销上的错误

Question

我在Visual Studio 2013中创建了基于声明的MVC网站。

到目前为止我学到了一些东西：

• System.Identity in，Microsoft.Identity out out
• 许多教程，包括微软4.5的指南，已经过时了。例如，我不相信对项目模板生成的.config文件的任何更改都是添加模块/处理程序或任何内容所必需的。
• Visual Studio 2013中没有与2012年一样的Microsoft内置/加载项STS
• Thinktecture的EmbeddedSTS插件经常被推荐并且听起来很酷，但是*：// EmbeddedSTS /没有解决（我没有得到它）​​。此外，其IdentityServer v2-的二进制链接目前已被破坏（？）
• ADFS功能需要Windows Server 2012，一个域名和自签名证书 - 如果您之前已经完成了这项工作，就不会太难，但如果您没有这样做，那么学习曲线会很苛刻。
• ADFS需要SSL - Visual Studio 2013 / IIS Express 8可轻松支持SSL站点，只需确保端口号在以下范围内：44300-44398
• ADFS管理器依赖方接口建议引用＆＃34; sts＆＃34;和＆＃34; adfs / ls＆＃34;我认为，这些东西具有误导性。他们真的应该回到你的应用程序（例如https://localhost:44300）。虽然我的工作尚未正常，但这可能与我的错误有关。
• 创建新的Visual Studio Web应用程序项目后，没有工具可以更改身份验证机制。重新开始一个新项目并将身份验证更改为组织帐户（对于内部部署，如我的情况）。 必须安装并访问您的STS（例如ADFS安装）才能完成此向导。
• 如果您要将VM中的测试ADFS DC混合在一起，请使用hosts文件将VM的DNS覆盖到预期的域名，因为您没有将计算机加入域的权利。
• ＆＃34;用户每次登录时都必须提供凭据。在首先处理登录注销问题时很有帮助。
• 如果您没有任何声明规则，我不会认为任何声明，甚至身份都会通过。

1）我的应用仍然认为用户未经过身份验证有什么问题？

如果用户经过身份验证，我的https://localhost:44300/Default/Index/操作应该显示User.Identity的详细信息（我也尝试了Thread.CurrentPrincipal.Identity）。我有一个登录Action链接，生成：

var signIn = new SignInRequestMessage(new Uri("https://dc.ad.dev.local/adfs/ls/"), "https://localhost:44300");

return new RedirectResult(signIn.WriteQueryString());

单击此链接确实将我带到ADFS登录页面。登录将我带回我的应用程序。在Chrome浏览器中观看保留的网络活动错误表明我已将RequestSecurityTokenResponse消息发回应用，但该应用的User.Identity仍然未经过身份验证。

我配置了一个声明规则：A＆＃34;转换传入声明＆＃34;来自＆＃34; Windows帐户名称＆＃34;到＆＃34;名称ID＆＃34;作为＆＃34;瞬态标识符＆＃34;。我看到嗅探<saml:NameIdentifier Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">DevAD\jdoe</saml:NameIdentifier>中代表的POST。我已经尝试过其他一些声明规则，但仍未通过身份验证。

我没有任何自定义代码来吸收索赔。 我希望拦截带有令牌的POST到任何应用程序URL，以便由框架自动地转换为User.Identity，这可能是由启动时由向导生成的代码启动的.Auth.cs：

app.UseActiveDirectoryFederationServicesBearerAuthentication(
    new ActiveDirectoryFederationServicesBearerAuthenticationOptions
    {
        Audience = ConfigurationManager.AppSettings["ida:Audience"],
        MetadataEndpoint = ConfigurationManager.AppSettings["ida:AdfsMetadataEndpoint"]
    });

但我的一部分怀疑这种期望。这是对的吗？ MVC WIF是否创建了一条特殊的已知路由来接受除了我的默认路由URL之外我应该使用的登录帖子？

2）如何成功注销？

我也有退出行动：

WSFederationAuthenticationModule.FederatedSignOut(new Uri("https://dc.ad.dev.local/adfs/ls/"), new Uri(Url.Action("Index", null, null, Request.Url.Scheme)));

但是在这个https://dc.ad.dev.local/adfs/ls?wa=wsignout1.0&wreply=https%3a%2f%2flocalhost%3a44300%2f页面上，＆＃34;发生错误＆＃34;。事件查看器显示＃364：＆＃34;在联合被动请求期间遇到错误。＆＃34;

Protocol Name: 
wsfed 

Relying Party: 

Exception details: 
System.ArgumentException: An item with the same key has already been added.
   at System.Collections.Generic.Dictionary`2.Insert(TKey key, TValue value, Boolean add)
   at Microsoft.IdentityServer.Web.Protocols.WSFederation.WSFederationProtocolHandler.AddSignoutSessionInformation(WSFederationSignOutContextBase context)
   at Microsoft.IdentityServer.Web.Protocols.WSFederation.WSFederationProtocolHandler.ProcessSignOut(WSFederationSignOutContext context)
   at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolSignoutRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
   at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
   at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

我的ADFS服务＆gt;证书都设置为相同的证书，我认为是正确的。

=====

顺便说一句，以下 应该被动地发布到应用程序，对吧？而且，它会被自动吸收吗？

<t:RequestSecurityTokenResponse xmlns:t="http://schemas.xmlsoap.org/ws/2005/02/trust">
    <t:Lifetime>
        <wsu:Created xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2014-07-28T14:29:47.167Z</wsu:Created>
        <wsu:Expires xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2014-07-28T15:29:47.167Z</wsu:Expires>
    </t:Lifetime>
    <wsp:AppliesTo xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy">
        <wsa:EndpointReference xmlns:wsa="http://www.w3.org/2005/08/addressing">
            <wsa:Address>https://localhost:44300/</wsa:Address>
        </wsa:EndpointReference>
    </wsp:AppliesTo>
    <t:RequestedSecurityToken>
        <saml:Assertion MajorVersion="1" MinorVersion="1" AssertionID="_e2399a27-acac-4390-aa8a-556f41fec2f2" Issuer="http://dc.ad.dev.local/adfs/services/trust" IssueInstant="2014-07-28T14:29:47.167Z" xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion">
            <saml:Conditions NotBefore="2014-07-28T14:29:47.167Z" NotOnOrAfter="2014-07-28T15:29:47.167Z">
                <saml:AudienceRestrictionCondition>
                    <saml:Audience>https://localhost:44300/</saml:Audience>
                </saml:AudienceRestrictionCondition>
            </saml:Conditions>
            <saml:AttributeStatement>
                <saml:Subject>
                    <saml:NameIdentifier Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">DevAD\jdoe</saml:NameIdentifier>
                    <saml:SubjectConfirmation>
                        <saml:ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:bearer</saml:ConfirmationMethod>
                    </saml:SubjectConfirmation>
                </saml:Subject>
                <saml:Attribute AttributeName="name" AttributeNamespace="http://schemas.xmlsoap.org/ws/2005/05/identity/claims">
                    <saml:AttributeValue>jdoe</saml:AttributeValue>
                </saml:Attribute>
                <saml:Attribute AttributeName="givenname" AttributeNamespace="http://schemas.xmlsoap.org/ws/2005/05/identity/claims">
                    <saml:AttributeValue>John Doe</saml:AttributeValue>
                </saml:Attribute>
                <saml:Attribute AttributeName="upn" AttributeNamespace="http://schemas.xmlsoap.org/ws/2005/05/identity/claims">
                    <saml:AttributeValue>jdoe@ad.dev.local</saml:AttributeValue>
                </saml:Attribute>
            </saml:AttributeStatement>
            <saml:AuthenticationStatement AuthenticationMethod="urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport" AuthenticationInstant="2014-07-28T14:29:47.152Z">
                <saml:Subject>
                    <saml:NameIdentifier Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">DevAD\jdoe</saml:NameIdentifier>
                    <saml:SubjectConfirmation>
                        <saml:ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:bearer</saml:ConfirmationMethod>
                    </saml:SubjectConfirmation>
                </saml:Subject>
            </saml:AuthenticationStatement>
            <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:SignedInfo>
                    <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                    <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
                    <ds:Reference URI="#_e2399a27-acac-4390-aa8a-556f41fec2f2">
                        <ds:Transforms>
                            <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                            <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                        </ds:Transforms>
                        <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
                        <ds:DigestValue>+ZDduF0CKxXq7P+diyAXN51mo549pvwo3BNCekWSEpk=</ds:DigestValue>
                    </ds:Reference>
                </ds:SignedInfo>
                <ds:SignatureValue>VMjCbSZXw3YROHYQ1eCYH5D9UQl1tzqZ9Nw99FUK78A8TSLs1ns3G8PE1d1Z1db2KKpbnzExXSXG2elP3Z69OejSWjsywIFTPeGcbGk4BvrV4ZcHGCbYKN0Wg5pySMEqm4LV1E5k+32kuALveLi5fkQROyXudquvVRgYrgu7XBsfr96Uvqo1yWmAzhhpEorfe4Z0p4RurKRpS7IsrI9SkssGOdQV/89NQelIZSZzOEMfay/AxewBbQ8C46g/4NgygaaPsG8X52EFVftzFY0BM8k+aMMUiKrJ0Xo7tJCMxJLcQ3aJdLBRNybHaklFgtln0ZCSlYylglUjUZ5d66jGcg==</ds:SignatureValue>
                <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                    <X509Data>
                        <X509Certificate>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</X509Certificate>
                    </X509Data>
                </KeyInfo>
            </ds:Signature>
        </saml:Assertion>
    </t:RequestedSecurityToken>
    <t:TokenType>urn:oasis:names:tc:SAML:1.0:assertion</t:TokenType>
    <t:RequestType>http://schemas.xmlsoap.org/ws/2005/02/trust/Issue</t:RequestType>
    <t:KeyType>http://schemas.xmlsoap.org/ws/2005/05/identity/NoProofKey</t:KeyType>
</t:RequestSecurityTokenResponse>

===============

以下是声明的声明。正如@nzpcmad建议的那样，第二个现在＆＃34;发送LDAP属性作为声明＆＃34;来自＆＃34; Active Directory＆＃34;发送＆＃34; SAM-Account-Name＆＃34; as＆＃34;名称＆＃34;，＆＃34;显示名称＆＃34; as＆＃34;给出姓名＆＃34;，＆＃34;用户 - 主要姓名＆＃34; as＆＃34; UPN＆＃34;。虽然应用程序在被动帖子中收到了声明，但User.Identity.IsAuthenticated仍然是假的，而其他User.Identity数据也是空白的。

Answer 1

完全正确的观察结果。

请注意：

ADFS在Server 2008 R2,2012和2012 R2上运行。

查看Use the On-Premises Organizational Authentication Option (ADFS) With ASP.NET in Visual Studio 2013。

它准确描述了您要做的事情。

特别要看看声明。

您将看到它使用＆＃34;发送LDAP属性＆＃34;而不是你使用的变换。

Answer 2

我遇到了相同的退出问题，如果您在受信任的人员证书商店中没有颁发证书，似乎就会发生。