如何使用ADAL库向ADFS中的身份令牌添加更多声明?
ADAL库(Active Directory Authentication Library)是一种用于.NET平台的身份验证库,用于与Azure Active Directory(AAD)和Active Directory Federation Services(ADFS)进行集成。它提供了一种简单的方式来获取和使用令牌,以便在应用程序中进行身份验证和授权。
要向ADFS中的身份令牌添加更多声明,可以按照以下步骤进行操作:
- 创建ADAL库的实例,并使用ADFS的终结点地址、客户端ID和客户端机密进行初始化。
string authority = "https://your-adfs-server/adfs";
string clientId = "your-client-id";
string clientSecret = "your-client-secret";
AuthenticationContext authContext = new AuthenticationContext(authority);
ClientCredential clientCredential = new ClientCredential(clientId, clientSecret);- 使用ADAL库获取访问令牌。
AuthenticationResult authResult = await authContext.AcquireTokenAsync(resource, clientCredential);- 从
AuthenticationResult对象中获取访问令牌,并将其添加到请求的头部或参数中。
string accessToken = authResult.AccessToken;- 使用ADFS的令牌签名密钥对访问令牌进行验证,确保其有效性。
// 验证访问令牌的签名
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidAudience = "your-audience",
ValidIssuer = "your-issuer",
IssuerSigningKeys = GetSigningKeysFromADFS()
};
SecurityToken validatedToken;
JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();
ClaimsPrincipal claimsPrincipal = tokenHandler.ValidateToken(accessToken, validationParameters, out validatedToken);- 添加更多声明到令牌中,可以通过创建新的
ClaimsIdentity对象,并将其添加到ClaimsPrincipal中。
ClaimsIdentity claimsIdentity = new ClaimsIdentity(claimsPrincipal.Identity);
claimsIdentity.AddClaim(new Claim("claim-type", "claim-value"));
ClaimsPrincipal newClaimsPrincipal = new ClaimsPrincipal(claimsIdentity);- 使用新的
ClaimsPrincipal生成新的令牌。
JwtSecurityToken newToken = tokenHandler.CreateJwtSecurityToken(
issuer: "your-issuer",
audience: "your-audience",
subject: newClaimsPrincipal.Identity as ClaimsIdentity,
signingCredentials: GetSigningCredentialsFromADFS(),
notBefore: DateTime.UtcNow,
expires: DateTime.UtcNow.AddHours(1)
);
string newAccessToken = tokenHandler.WriteToken(newToken);通过以上步骤,您可以使用ADAL库向ADFS中的身份令牌添加更多声明。请注意,这只是一个示例,实际实现可能因环境和需求而有所不同。
腾讯云提供了一系列与身份验证和授权相关的产品和服务,例如腾讯云身份认证服务(CAM)和腾讯云访问管理(TAM)。您可以参考腾讯云的官方文档了解更多详情:
相关·内容
1回答
如何使用ADAL库向ADFS中的身份令牌添加更多声明?
c#、.net、wpf、adfs
这可能是一个简单的问题,但我对ADFS非常陌生,但我正在为ADFS使用ADAL库,我想知道我是否可以在短暂的身份令牌中显示声明,而不是accessToken。我有这样的代码: var authContext = new AuthenticationContext(authority, false);
var authResult = await authContext.Acquir
浏览 14提问于2018-12-21得票数 0
回答已采纳
1回答
如何针对ADFS 3.0识别已使用ADAL进行身份验证的用户?
ios、objective-c、adal
我让ADAL for iOS与ADFS3.0服务器一起工作。它会打开一个web视图,用户进行身份验证,然后我会收到一个带有访问令牌的回调。
我的问题是,我没有得到关于用户身份的任何信息。在任何超文本传输协议响应中都没有id_token,我不确定如何首先请求一个。我在其他地方看到微软的人说ADFS3.0根本不支持id_token。我还解析了JWT格式的访问令牌,其中也没有我可以用来识
浏览 10提问于2016-08-09得票数 1
回答已采纳
1回答
ADAL.JS -支持POST方法?是否支持正常的身份验证码流?
adal、adal.js
我们已经成功地通过ADAL.js库实现了身份验证。我们正尝试使用它对ADFS进行身份验证。当它成功通过身份验证时,我们不能请求任何声明/角色。我被告知的问题是"ADFS只在repsonse_mode是forms或fragment时才允许隐式授权。“我想知道是否有办法修改代码以支持向ADFS发送POST (而不是GET)?这个库似乎使用<
浏览 31提问于2019-06-06得票数 1
2回答
公司内部AD (活动目录)
c#、active-directory、uwp、adal
我想获得当前用户的访问令牌。
在另一个线程中,我发现在WinRT应用程序中没有可用的LDAP/ API。在搜索更多内容时,我发现存在着Microsoft.IdentityModel.Clients.ActiveDirectory,它使开发人员能够轻松地对用户进行云或on Active Directory(AD)身份验证。但我找不到任何文档或样本来验证UWP应用程序的内部企业AD基础设施。有人有更多关于如何完
浏览 0提问于2016-11-29得票数 2
1回答
使用ADAL.js获取ADFS on-promise令牌
javascript、adfs、adal.js
我想知道ADAL.js是否可以在内部部署的ADFS和AD上运行。实际上,我需要获取ADFS的Id_Token并将其传递到SharePoint REST API的头中。遵循我使用Azure参数找到的:
@property {string} tenant - Your target tenant.事实上,我使用的是Active directory和ADFS本地部署,作为一个开发人员,我也没有访问AD和
浏览 3提问于2020-01-06得票数 0
1回答
用Azure AD授权增强索赔
azure、azure-ad-b2c
“我有一个应用程序,在这个应用程序中,通过多个目录进行身份验证的用户都是使用ADFS进行联合的。有一个中心ADFS可以执行联邦和路由到正确的IDP。大多数IDP都是ADFS,通过使用正常的ADFS规则向SAML令牌添加声明。我们现在有一些客户希望使用Azure AD作为IDP,但这似乎不允许<
浏览 0提问于2016-06-29得票数 1
回答已采纳
3回答
如何设置有效的前提下ADFS URI?
c#、asp.net-core、adfs、adal
我有一个Windows4.6.2WindowsClient应用程序,它需要从我们的.NET服务器获得一个身份验证令牌,并使用它调用ASP.NET核心REST。它的客户端名称、id (GUID)和重定向URI已在ADFS中注册。我正在使用最新的ADAL (v3.13)库来方便身份验证。我正试图获得一个令牌,如下面的ADAL示例代码所示:
Authentication
浏览 3提问于2016-10-10得票数 6
回答已采纳
1回答
iOS应用程序如何接收SAML响应?
ios、saml、adfs
我正在与一个希望使用SAML与进行身份验证的客户端合作。正如我所解释的,客户端ADFS服务器是SAML身份提供者,我只需在应用程序中提供一个was视图,以便他们加载登录页面。在成功的身份验证之后,响应应该提供经过验证的元数据?
我尝试过研究SAML和iOS,只找到了提供解决方案的第三方软件,但是没有任何第三方集成到应用程序中,也无法解释如何做到这一点。我调查过的资
浏览 2提问于2016-02-25得票数 4
1回答
ADFS3.0下的动态CRM请求认证
c#、dynamics-crm、adfs
我有一个内置的Dynamics (2016),它使用ADFS (3.0)配置。当用户想要登录时,他们被重定向到ADFS登录页面,用户输入他们的Windows凭据。从.net核心应用程序中,我需要使用HttpClient向CRM提出请求。当我试图像往常一样发送Windows Auth CRM的凭据时,它不起作用。我得到了401的未经授权。就像下面。adal检索令牌,并将其作为承载<e
浏览 1提问于2018-10-30得票数 3
回答已采纳
1回答
ADFS2016 SAML2 to OAUTH2/OIDC
asp.net-mvc、oauth-2.0、openid-connect、saml-2.0、adfs4.0
我们有一个MVC应用程序(<myapp.somedomain.com>) .net 4.5.2 (OWIN/ADAL),它通过OIDC/OAuth2使用ADFS2016进行授权/授权。用户的凭据和属性存储在AD LDS中。客户端(X)请求通过SAML2上的IdP在应用程序中进行身份验证。这是否可以在不对应用程序进行更改的情况下实现?我正在寻找的流程;对于这个客户端,应用程序的
浏览 28提问于2021-06-15得票数 0
1回答
ADFS何时以及如何使用刷新标记[UseOpenIdConnectAuthentication - ASP.NET MVC5]
asp.net-mvc、oauth-2.0、owin、adfs、identityserver3
在Startup.Auth.cs中,在AuthorizationCodeReceived通知上,我同时收到accessToken (生存期1h)和refreshToken (24h)。问题是我不知道何时请求新的访问令牌,以及如何请求它。一个完整的代码示例将非常有用,因为我是一个菜鸟,关于adfs和owin。在某些时候,用户被重定向到adfs,然后返回到网站,但他们失去了会话并出现错误。下面是完整的代码转储: public partial class S
浏览 21提问于2020-04-07得票数 0
1回答
有条件地使用ADFS进行登录
asp.net、asp.net-mvc、authentication、adfs
我需要为我们的一个客户集成ADFS。 我们使用OWIN和OAuth承载令牌,以及JWT承载身份验证。所有这些都运行得很好。输入用户名(电子邮件)和密码,根据我们的数据库用户存储进行身份验证,获得一个持有者令牌。 当输入的用户名在特定的域中时,我们只需要询问客户端的ADFS服务器进行身份验证。我们的移动应用使用<
浏览 9提问于2019-03-16得票数 2
回答已采纳
1回答
ADAL .NET到ADFS
.net、adfs、adal
我正在尝试做这个库设计要做的事情:允许我的.NET代码(当前是一个测试控制台应用程序)从ADFS中检索当前用户的令牌,并使用该令牌对REST Web API端点进行身份验证和调用。称其为ADAL支持的基本流程。我的组织运行Windows Server 2012 SP2 ADFS。控制台应用程序和ADFS是内部部署的</e
浏览 3提问于2016-09-28得票数 0
1回答
为什么使用ADAL的ADFS身份验证从不要求用户输入凭据?
c#、authentication、adfs、adal、asp.net-core-webapi
我们正在Windows 2012 R2上运行ADFS 3,并使用C# ADAL库v3从ADFS检索自定义.NET应用程序的身份验证令牌。其思想是使用ADFS为我们的.NET核心Web提供用户AD身份验证,使用相同的web标准方法,无论客户端应用程序是.NET应用程序还是ReactJS应用程序。身份验证似乎在起作用,因为A
浏览 8提问于2017-01-30得票数 0
回答已采纳
1回答
是否可以针对多个身份验证提供商保护ASP.NET Web API2应用程序?
c#、azure、authentication、asp.net-web-api2、adal
我刚刚完成了关于在使用ADAL和OWIN中间件组件的ADFS/Windows Azure AD实例上使用OAuth2保护ASP.NET Web API2应用程序的。但是,本文中描述的整个身份验证工作流似乎在很大程度上是“硬连接”到HTTP请求管道中的,并且没有为针对其他身份验证提供程序实现身份验证工作流留下任何空间。
为什么需要这样做?我有一个移动web客户端,允许“内部
浏览 3提问于2016-07-15得票数 3
2回答
Id_token申请
adal、adal.js
我有一个AngularJS应用程序,我已经使用adal.js成功地针对ADFS4.0进行了身份验证。一切都运行得很好,但是id_token中的声明没有包含足够的用户信息来隐藏用户不应该访问的应用程序部分。在令牌中选择用户所属的组的正确方式是什么?还是我走错了路。
浏览 50提问于2017-03-01得票数 1
回答已采纳
1回答
如何在多读应用程序中管理ADAL auth令牌的检索
java、multithreading、azure、azure-active-directory、adal
我有一个高容量的基于多线程的java应用程序,它需要调用运行在Microsoft上的基于REST的端点,并在使用"Azure“检索的头中使用授权令牌。如果是的话,那么我相信我将得到的最近调用的令牌可能会改变,那么在这种情况下,如果我已经使用先前检索到的令牌发出请求将失败,或者Azure ADAL仍将履行所有先前生成<e
浏览 3提问于2016-01-24得票数 0
回答已采纳
2回答
ADFS 2016 X-Frame-拒绝的选项
adal.js、adfs4.0
我在我的react应用上使用adal.js (使用react-adal包装器)。我将我的应用程序配置为与我的ADFS2016服务器(内部部署)配合使用,身份验证过程运行良好,但在ADFS SSO cookie过期后,当客户端发送续订令牌请求(在隐藏的iframe中)时,浏览器在控制台中显示以下错误为了重新进行身份验证,用户需要刷
浏览 1提问于2018-10-29得票数 1
2回答
客户关系管理Web Api ADFS OAuth
oauth、dynamics-crm、adfs
要实现这一点,我们需要利用Microsoft.IdentityModel.Clients.ActiveDirectory库,使用ADAL进行OAuth身份验证,如这里所述的。我们使用以下代码从ADFS中检索令牌var clientId = "xxxxxxxx-xxxx-xxxx-xxxx-xxx
浏览 1提问于2017-10-24得票数 2
1回答
Power BI:访问令牌将在1小时后过期
azure、active-directory、powerbi
我正在开发Power BI报告,并使用微软在Github中提供的示例代码将其集成到一个应用程序中。在Azure Active Directory中注册应用程序后,应将客户端ID和密钥复制到配置文件中。我可以使用仪表板示例获取访问令牌,其中用户需要登录并生成嵌入URL。有没有人知道如何刷新令牌或延长过期时间,因为现在,报告不起作用后只有1小时?
谢谢。
浏览 2提问于2017-06-14得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
