好的在ADFSv3上执行authz代码授权流程。
当我执行AcquireToken时,会启动通常的html webbrowser身份验证提示,但由于某种原因,它会重定向到以下端点/ adfs / oauth2 / authorize / wia?显示Windows集成登录框。
问题: 这是adfs在这里提供的某种ntml / sso的东西吗? 是否有可能摆脱最初的html网页浏览器,而是直接显示Windows登录框,它看起来有点像一个分裂的个性,有2个身份验证提示(1个已禁用,1个已启用)。
欢呼艾伦答案 0 :(得分:1)
您正在从中加入AcquireToken流域的客户端计算机?可能不是。看起来它正在尝试Windows集成身份验证(Kerberos)并回退到NTLM(您正在看到的Windows凭据集合对话框)。
您可以使用ADFS全局身份验证策略(即Set / Get-AdfsGlobalAuthenticationPolicy PowerShell cmdlet)或MMC管理单元中的“身份验证策略”节点配置ADFS提供的身份验证方法。确保在全局身份验证策略中为Intranet和Extranet位置启用了“表单身份验证”,以便使用基于Web的凭据收集体验。如果您愿意,也可以选择在全局身份验证策略中关闭Windows集成身份验证。
如果为Intranet位置启用了表单身份验证和WIA,则如果客户端的用户代理/浏览器具有WIA功能,ADFS将更喜欢使用WIA。您可以通过Get-AdfsProperties cmdlet查看支持WIA的用户代理列表(查找WIACapableUserAgents设置)。通常像IE这样的浏览器能够进行WIA。对于不在此列表中的用户代理,ADFS将自动回退到使用表单身份验证。