我们希望使用ADFS作为我们的联合安全服务进行身份验证,并拥有登台和生产ADFS服务器。
我已经敲了一个简单的MVC Web应用程序,该应用程序使用登台服务器,其领域设置为我的网站在“http://localhost:55483”下运行的网址
当我尝试访问受保护资源时,它正确地将我重定向到ADFS服务器,然后ADFS服务器将我重定向到IdP以进行登录。 IdP和ADFS服务器都在其响应中使用脚本来自动提交html表单,返回到ADFS服务器,然后再到我自己的站点以传递安全令牌。
问题是当它重定向回我的网站时,它已升级到HTTPS!
是否有某种方法可以禁用此升级到HTTPS?
我看到chrome和其他浏览器似乎都将这个“upgrade-insecure-requests”标头添加到请求中,所以我不知道ADFS服务器是否尊重它?或者如果可以在ADFS端禁用它?
答案 0 :(得分:1)
ADFS仅在https上运行。
不,你无法禁用它。
这就是为什么如果你有一个LB,你必须通过所有ADFS流量。您无法在LB上终止SSL。