如何使用ADFS作为身份提供程序

时间:2015-04-24 08:40:43

标签: asp.net .net active-directory saml-2.0 adfs

经过2天的研究,现在我假设ADFS可以用作身份提供者,它使用Active Directory作为其存储库(这意味着我们可以存储识别用户所需的用户名,密码)。我的混淆是

  • 当用户在SP中打开登录页面并且有信任时 SP和ADFS(IP)之间的关系,IP是否占用了窗口 登录UserId以从活动目录中检查用户?
  • 如果验证成功,则IP发送 用户信息(作为SAML响应)到SP,以便我可以创建 登录用户的会话?
  • 我该怎么办,如果用户从SP退出,我是否也必须这样做 IP中的清除会话(现在是ADFS)

如果我的假设是正确的,如何将ADFS实现为身份提供商(IP)并在Asp.net应用程序(服务提供商)中使用其服务?

2 个答案:

答案 0 :(得分:2)

  1. 当SP注意到用户未登录时,会将用户发送给IDP。这是登录页面的显示位置。可以将ADFS配置为根据登录的Windows用户对用户进行身份验证。
  2. 是ADFS可以配置为在SAML响应中返回用户信息。这被定义为ADFS中的声明
  3. 当用户在SP中注销时,SP应该向IDP发送SAML LogoutRequest以删除IDP上的会话。
  4. Here is a library I have seen others use for .net 另一种选择是在您的应用程序前使用Shibboleth等产品

答案 1 :(得分:1)

您的问题是:"如何将ADFS实施为身份提供商(IP)并在Asp.net应用程序(服务提供商)中使用其服务"

然后你用SAML标记了它?

您为什么要使用SAML? (在这里我说的是SAML协议不是SAML的令牌)。

只需使用支持OOTB的WS-Federation和WIF。 WS-Fed也使用SAML令牌。

如果您想使用SAML,请参阅SAML : SAML connectivity / toolkitSAML : ASP.NET MVC application talking to SAML IDP