我可以使用ADFS 2.0对SQL Server的某些用户进行身份验证吗？

Question

我一直在使用ADFS在VS中使用声明感知模板对AD进行身份验证。我们的一些用户不在Active Directory中，因此我想知道是否可以配置ADFS以便为这些用户查找SQL Server，然后继续正常运行。

Does ADFS2.0 provide custom authentication stores?

是一个类似的问题，只有一个人说是的，可以做，而另一个人说不能。

Answer 1

AD FS 2.0只能对Active Directory（AD DS）进行身份验证。这在官方AD FS 2.0文档中没有明确记录，但它遵循以下两个片段：

• "Appendix A: Reviewing AD FS Requirements" from the AD FS 1.x Design Guide, section "Account store requirements"说：“AD FS支持两种类型的帐户存储：Active Directory域服务（AD DS）和Active Directory轻量级目录服务（AD LDS）。”
• "Planning a Migration to AD FS 2.0"说：“以下是AD FS 2.0中不再支持的AD FS 1.x功能和方案：[...] AD LDS用作帐户存储”。

因此，没有自定义身份验证存储，基于SQL Server或其他。

（关于其他属性商店的另一个问题：这是可能的。）

an answer to the other question you refer to中建议的解决方案有点误导。如果您阅读the actual blog post，您会看到他们添加了额外的STS。 AD FS 2.0为其他STS提供“声明提供商信任”，并重定向到它（如果“主域发现”设置正确）。然后，其他STS以其喜欢的方式执行身份验证，将令牌发送回AD FS，然后AD FS运行其声明规则。

因此，在该解决方案中，它不是针对非AD存储的AD FS 2.0 身份验证，而是重定向到针对该存储进行身份验证的STS。