如何通过ADFS声明释放Active Directory机密属性
ADFS(Active Directory Federation Services)是一种由Microsoft提供的身份验证和授权解决方案,用于实现跨组织的单点登录(SSO)和访问控制。通过ADFS,用户可以使用其本地凭据登录到一个组织的应用程序,然后无需再次输入凭据即可访问其他组织的应用程序。
在ADFS中,声明释放是指将用户的Active Directory(AD)中的机密属性(例如电子邮件地址、电话号码等)传递给受信任的应用程序。这样,应用程序可以根据用户的属性进行个性化的授权和访问控制。
要通过ADFS声明释放Active Directory机密属性,需要进行以下步骤:
- 配置ADFS:首先,需要在ADFS服务器上配置声明策略,以确定哪些属性将被释放给应用程序。这可以通过ADFS管理控制台进行配置。
- 配置受信任的应用程序:接下来,需要将目标应用程序配置为受信任的应用程序,并将其与ADFS服务器建立信任关系。这可以通过ADFS管理控制台或应用程序的配置界面完成。
- 配置声明规则:在ADFS中,声明规则用于确定哪些属性将被释放给特定的应用程序。可以根据应用程序的要求配置不同的声明规则。声明规则可以基于用户的组成员身份、属性值等进行配置。
- 测试和验证:完成配置后,可以使用测试用户登录到目标应用程序,并验证其是否成功获取了Active Directory中的机密属性。可以通过查看应用程序的用户配置信息或日志来验证声明释放是否正常工作。
推荐的腾讯云相关产品:腾讯云身份认证服务(Cloud Authentication Service,CAS)。CAS是腾讯云提供的一种身份认证和访问控制服务,可以与ADFS集成,实现跨组织的单点登录和声明释放功能。CAS提供了易于使用的管理控制台和API,可以方便地配置和管理声明策略、受信任的应用程序等。
更多关于腾讯云身份认证服务的信息,请访问:腾讯云身份认证服务
相关·内容
2回答
限制ADFS2.0使用特定的OU而不是域级访问
asp.net、wif、adfs2.0、adfs、claims
考虑以下示例场景:
我有一个用于生产、测试和开发的Active Directory域(每个域在OU级别都是分开的)。
我希望在测试OU级别安装ADFS,并且我不希望在test中通过身份验证的用户能够访问其他OU的(读和写)。
这有可能吗?我们可以限制ADFS2.0只在特定的OU下工作吗?
浏览 1提问于2013-03-12得票数 3
回答已采纳
2回答
ASP.NET SSO和构建自定义STS
asp.net、adfs
这是我在上的问题的后续。给出的答案告诉我要调查基于声明的身份验证协议,我一直在阅读,试图更好地理解微软的技术,这将使我能够做到这一点。
根据链接的书籍,您可以使用(ADFS) 2.0发布索赔。尚不清楚的是,是否需要将用户存储在中。假设我有一个现有的遗留应用程序,它处理身份验证和用户信息(用户名、密码、电子邮件等)。存储在Oracle数据库中(根据我前面的问题),我是否仍然可以使用ADFS来发出索赔,或者是否需要将自己的索赔颁发者(STS)构建到这个现有的应用程序中?
考虑到Active联邦服务中的Active Directory,似乎需要将用户存储在AD中,但本书也有以下映像
还有这
浏览 1提问于2014-04-10得票数 4
1回答
如何为AD-FS中的web应用程序指定声明提供程序
openid-connect、adfs
我一直遵循准则和,但是每当我发出OIDC身份验证请求时,ADFS登录页面都会显示一个声明提供者列表。我不知道如何指定对于这个应用程序,只有一个是相关的。Set-AdfsWebApiApplication似乎是答案,但我已经运行它来将claims provider映射到应用程序,但无济于事。
有什么我可能忽略的建议吗?
浏览 3提问于2021-10-21得票数 0
1回答
什么是ADFS (Active联邦服务)?
active-directory、adfs
因此,有人告诉我,我们的PHP应用程序可能需要支持使用ADFS的身份验证。
对于非微软人士来说,什么是ADFS?
它与LDAP这样的东西有什么区别?
它怎麽工作?在对ADFS服务器的典型请求中将包含什么样的信息?它是为身份验证和授权设计的吗?
ADFS服务器通常可以从互联网访问(而企业AD域控制器不会访问)吗?
我试着读了一些Technet文档,但是里面充满了微软的语言,但这并没有多大帮助。
维基百科更好(见下文),但也许一些ServerFault社区可以填补一些空白。
Active Directory Federation (ADFS)是Microsoft开发的一种软件组件,可以安装在Win
浏览 0提问于2015-07-27得票数 94
回答已采纳
1回答
配置Google连接到用Kerberos配置的AD并使用ADFS
windows-server-2012-r2、kerberos、adfs、google-chrome、saml
我正在尝试配置Google (和Firefox),使用通过ADFS、SAML/Kerberos端点和使用Shibboleth的Apache应用程序进行隧道的Active进行身份验证。以下是我在每台机器中的一些设置。
Active Directory设置:我使用的是使用Kerberos加密配置的Active用户帐户,并在Windows 2012 r2中具有Kerberos预身份验证。
IE设置: Internet和受信任站点的IE安全设置将用户身份设置为“使用当前用户名和密码的自动登录”(自动登录Windows当前用户)。ADFS和Apache应用程序的域被添加到允许的站点中。
Windows
浏览 0提问于2016-12-29得票数 3
2回答
ADAM、Active Directory、LDAP、ADFS、身份
active-directory、ldap、adam、windows-identity、adfs
ADAM、Active Directory、LDAP、ADFS、Windows Identity、cardspace与哪台服务器(Windows 2003、Windows 2008)使用什么有什么区别/联系?
浏览 0提问于2011-01-07得票数 22
回答已采纳
1回答
在公司网络上从ADFS询问窗口
single-sign-on、windows-authentication、adfs2.0、adfs
我刚看了这篇文章:
我刚刚完成了一个应用程序的构建,它可以通过WAAD认证用户,或者通过在他们的公司网络上本地安装ADFS (配置点允许他们选择其中一个)。
该应用程序将托管在Azure。谁能告诉我,是否可以让用户在他们的公司网络上登录这个Azure应用程序而不输入他们的凭据?
以下是流程:
用户导航到云应用程序
FAM检测到它们没有经过身份验证,并将浏览器重定向到公司网络上的ADFS服务器。
ADFS服务器响应401挑战(我假设这就是正在发生的事情)
用户看到用户名/密码框,并输入凭据。
用户将被重定向回云应用程序,并带有包含其声明的令牌。
我不明白如果用户已经在
浏览 2提问于2014-01-29得票数 0
回答已采纳
1回答
支持现有的表单身份验证登录和联合WebSSO
federated-identity、adfs
我们有一个托管的web应用程序,它使用表单身份验证。属于不同合作伙伴组织的用户可以访问此This应用程序。目前,属于合作伙伴组织的用户正在使用我们提供给他们的凭据访问应用程序。
现在,一些合作伙伴组织希望其用户使用其active directory凭据来访问应用程序。我们计划对这些合作伙伴组织使用ADFS,因此将使用其网络中的Active Directory对用户进行身份验证,并通过ADFS设置的身份验证令牌cookie将声明发送到webapp。从声明中,我们将用户映射到web应用程序的内部userIds。
我的问题是,如果我们启用web应用程序ADFS,1)是否仍然可以允许其他合作伙伴组织用
浏览 2提问于2009-11-20得票数 1
回答已采纳
2回答
我试图确定的授权流程是:
用户转到https://app.example.com/
app.example.com没有为用户设置会话,所以它将它们发送给https://adfs.example.com
adfs.example.com没有用户的会话。
用户没有会话。
adfs.example.com充当SP,并要求https://notadfsidp.example.com进行身份验证。
用户有一个与notadfsidp的会话,因此这些会话作为身份验证发送回adfs,然后作为身份验证发送到app。
- user has a session
- user is redirecte
浏览 0提问于2017-03-14得票数 0
2回答
MVC - ADFS身份验证- ADFS重定向到本地主机
asp.net-mvc、azure、authentication、visual-studio-2015、adfs
我正在尝试向Azure应用程序服务发布一个新的MVC应用程序。该应用程序使用ADFS单点身份验证,我在ADFS服务器上添加了依赖方信任,并且在本地主机上测试时可以登录。
在发布到我的应用程序服务并尝试登录之后,它重定向到ADFS,但一旦验证,它就重定向到本地主机。
我试图研究这个问题,发现了以下博客和截图:
但在Visual 2015和2017中,我的设置如下:
下面的问题(与VS 2013相关)指的是启用组织认证,但对接受的答案的评论说,该选项已在VS 2015中删除。
我的问题是,在VS 2015或2017中,有哪些步骤可以启用组织认证,并在ADFS验证后停止我的应用程序重定向到
浏览 3提问于2017-04-24得票数 1
回答已采纳
1回答
客户端adfs和AD重定向的本地ADFS
adfs2.0
我有网络应用程序,其中使用WIF/ADFS索赔的身份验证,我已经为此设置了一个adfs和广告。
现在,我需要重定向并使用特定于客户端的ADFS和AD进行身份验证。
应用程序->本地ADFS->客户端-1 ADFS->客户端-1 AD
App->Local ADFS->Client-2 ADFS->client -2 AD
因此,我想在本地ADFS中为特定于客户端的重定向进行配置,这可能吗?
浏览 6提问于2014-04-02得票数 0
1回答
使用单点登录和ADFS从SAML响应中获取电子邮件地址
authentication、single-sign-on、saml、adfs
我正在使用ADFS和SAML 2.0建立一个单点登录(SSO)系统。我不得不遵循我被困在下面的场景:
1)用户尝试访问web资源,但未登录,因此被定向到ADFS SSO服务。
2)用户成功通过ADFS认证。
3) ADFS将SAML响应传回web资源。
4) web资源本身有一个用户数据库,但这里不存在该用户。
5)因此,web资源必须静默创建用户帐号。为此,我需要电子邮件地址。
那么,是否可以将ADFS配置为在成功的SAML响应消息中返回用户的电子邮件地址?
浏览 1提问于2012-02-23得票数 2
回答已采纳
2回答
ADFS、LDAP对的使用
active-directory、ldap、adfs
对于Active Directory的使用,我有几个非常具体的问题要理解:
ADFS是一种服务/软件,用于为存储在Active中的用户启用SSO登录到使用单个url的应用程序。对吗?
LDAP是一种公开其他功能的协议,如获取用户、删除用户、通过绑定方法验证用户等,这些功能存储在Active中。对吗?
那么LDAP和ADFS不能在同一个活动目录上工作吗?这个链接:使我感到困惑,因为它将LD和AD称为单独的实体。
我不能把这两种机制都应用在同一个AD上吗?我只知道LDAP。努力学习ADFS。
浏览 1提问于2017-04-14得票数 0
回答已采纳
1回答
在联邦环境中的ADFS声明配置
oauth-2.0、openid-connect、adfs
我试图使用ADFS身份验证,但我对配置的位置有一些疑问。
在我的公司方面,有一个用Active配置的ADFS。我能够使用oauth并验证来自AD的用户:我获得了一个访问令牌和一个id_token。
我还需要对来自另一家公司的用户进行身份验证,后者也有一个ADFS。所以,我相信两者之间是有一个联盟的。在我的ADFS方面,我们为该ADFS创建了一个索赔提供程序信任。我可以使用oauth获得访问令牌。然而,我不能得到一个id_token。我也无法在访问令牌中获得一些用户信息(声明)。
我尝试了我在ADFS方面所能做的一切,更具体地说,我对索赔提供者信任和应用程序组中的所有索赔都应用了密码。Hoerv
浏览 1提问于2020-08-10得票数 0
回答已采纳
1回答
具有组成员域本地的ADFS custome声明
adfs、adfs3.0、adfs4.0
我使用全局安全组创建了基于组成员身份的custome ADFS声明规则。它的工作很顺利,但是我们需要增加来自不同森林的用户,这些用户都是我们信任的。因此,将全局组转换为域本地组,这样我们就可以添加来自不同林中的用户,但不知怎么它不起作用,即使用户来自同一域,也只有全局组是不工作的。如果我们使用索赔属性,有人能帮助我获得ADFS不支持的适当的解决方案或域本地组吗?
当前全球组的设置如下(工作)发送令牌组:-
C:输入== == Issuer == "AD AUTHORITY“=> add(store = "Active Directory",Type= ("
浏览 4提问于2022-02-28得票数 0
1回答
.NET 4.5索赔身份模型
.net、.net-4.5、wif、claims-based-identity
我们有两个ASP .NET web应用程序生活在不同的服务器上。我们组织中的所有身份验证都是通过针对Active Directory的Windows身份验证完成的,因此在web应用程序本身中没有用户名和密码身份验证。
我们希望使用基于声明的授权,并让这两个web应用程序共享有关给定用户的声明的信息。
我正想办法解决这个问题。
我们有ADFS2.0,我知道我可以使用this...but设置联邦身份验证,在哪里应该存储我的AD用户的声明,以及它们是如何被补充和共享的。认证后,声明本身是否以cookie结束?
具体而言,设想的情况应该是:
用户导航到web应用程序1
商业决策是基于条款主体的
浏览 4提问于2015-06-27得票数 2
1回答
如何使用/ GSuite实现对Windows服务的服务?
active-directory、google-cloud-platform、g-suite、single-sign-on、windows-server-2019
我的组织几乎完全是基于Linux和Mac的。我们将所有内部服务配置为将GSuite登录用于身份和身份验证。
现在我们需要使用Windows应用程序,我希望使用Windows 2019在GCP中托管它,而不是维护prem windows桌面硬件(我们是一个分布式团队)。我已经设置了一个AD实例,但是我非常希望允许用户在使用GSuite登录时注册,保持我们现有的基于Google的SSO设置的连续性。
我读过:https://cloud.google.com/solutions/federating-gcp-with-active-directory-introduction,但它似乎是一种解决方案
浏览 0提问于2019-09-01得票数 1
1回答
在SSO方案中,Internet Explorer通过什么机制将客户端身份验证信息发送到ADFS
internet-explorer、single-sign-on、adfs
我正在尝试了解使用户身份验证详细信息能够通过Internet Explorer发送到ADFS服务器的机制。
我计划使用基于云的服务,该服务与本地ADFS服务器集成。当已经通过本地Active directory身份验证的用户尝试通过浏览器访问基于云的服务时,他将被重定向到本地ADFS服务器进行身份验证。
据我所知,由于用户已经通过本地Active directory进行了身份验证,因此ADFS不会提示用户输入密码,而是会自动对其进行身份验证。
我试图理解用户身份验证信息是如何通过浏览器从用户机器传递到ADFS服务器的。是通过jscript等函数调用的吗?
浏览 1提问于2013-06-21得票数 0
回答已采纳
1回答
Azure AD集成认证
asp.net、azure、azure-active-directory、windows-authentication、azure-authentication
我想要实现类似Windows集成认证,其中用户数据是从您的个人电脑读取,这是在组织的内部网。
我们已经在Azure上注册了我们的组织,并设置了Azure AD,我们有应用程序使用SSO连接到AD并从其中检索用户数据。我们也可以用"name.surename@organisation.onmicrosoft.com“帐户登录到我们的设备。
问题:
是否可以通过使用pc登录信息自动将用户身份验证到我们的web应用程序中?
是否存在允许我们使用Azure AD以Windows集成身份验证方式对用户进行身份验证的身份验证方案?
最终的目标将是拥有类似Windows集成身份验证的
浏览 2提问于2017-12-12得票数 0
回答已采纳
1回答
基于Azure多因素认证的R2在Windows2012中的应用
two-factor-authentication
谢谢你提前阅读这篇文章。
我想要求用户在登录到Office 365邮箱时,使用Azure移动应用程序进行多因素身份验证。我不需要使用MFA来获得任何其他资源。我已经在Windows2012上部署了ADFS,R2已经部署在今天的办公场所。
是否需要在现场安装多因素身份验证服务器?或者,我可以像在https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-adfs#secure-azure-ad-resources-using-ad-fs中描述的那样配置ADFS而不安装多因素身份验证服务器吗?如果
浏览 0提问于2018-08-17得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
