Erros de certificado no ambiente de desenvolvimento do ADFS 2.0 + ASP.NET com dois ou mais domínios

4

Estou tentando configurar um ambiente de desenvolvimento de aplicativos da Web com reconhecimento de declarações. Eu sou novo no ADFS 2.0 e, finalmente, eu quero ser capaz de autenticar contra dois domínios diferentes. Acho que estou muito perto, mas estou recebendo um erro de certificado de um dos servidores do ADFS.

During processing of the Federation Service configuration, the element 'serviceIdentityToken' was found to have invalid data. The private key for the certificate that was configured could not be accessed.

Esse erro é registrado no log de eventos do servidor ADFS no domínio nº 1 depois que eu insiro as credenciais no aplicativo da web. Mesmo com as credenciais de trabalho, sou passado para uma página de acesso não autorizado 401.

A conta de usuário que está executando o serviço do ADFS tem permissões para a chave particular do certificado, portanto, não estou certo do motivo pelo qual estou recebendo este erro.

O que eu fiz até agora:

  1. Criado um servidor no domínio 1 e instalado no ADFS 2.0
  2. Criei um servidor no domínio nº 2 e instalei o ADFS 2.0
  3. Criado um terceiro servidor de desenvolvimento com o VS 2010 no domínio # 1
  4. Construímos um aplicativo simples no servidor de desenvolvimento e o tornamos ciente da federação (de acordo com o link ); no web.config, o servidor de federação é definido para o servidor no domínio # 1

Eu também não configurei um Trust de terceiros confiável em nenhum dos servidores do ADFS. Isso é necessário? Não consigo encontrar nenhuma boa documentação explicando como isso deve funcionar.

Eu segui isso ( link ) guia na criação deste, mas eu sinto que há provavelmente um simples passo que tenho errou em algum lugar.

Para resumir:

  1. Por que posso obter esse erro de certificado acima?
  2. Estou faltando alguma etapa na configuração do ADFS para que eu possa autenticar nos dois domínios? (Provavelmente, estou faltando uma etapa para vincular os dois servidores ADFS)

Agradecemos antecipadamente por qualquer ajuda sobre isso. Alguém que esteja familiarizado com o ADFS provavelmente poderá configurar isso em questão de minutos!

    
por Isaac Butt 18.05.2012 / 22:32

1 resposta

1

Parece que o que você está tentando fazer é ter um servidor dev federado com adfs do domínio 1 e, em seguida, ter o adfs do domínio1 para aceitar tokens de adfs no domínio2 usando uma confiança do provedor de declarações. Dessa forma, os usuários do domínio1 e do domínio2 poderão fazer logon e acessar o aplicativo do servidor de desenvolvimento, desde que as regras de declaração estejam configuradas corretamente.

Portanto, a resposta à sua segunda pergunta é configurar uma confiança do provedor de declarações nos adfs no domínio1 para apontar para adfs no domínio 2 e regras de declarações para transformar / passar as declarações recebidas de adfs no domínio1. Em seguida, os adfs no domínio 2 também precisarão de uma confiança da terceira parte confiável configurada para apontar para o adfs 1, onde você escolhe quais declarações coletar e enviar.

como para question1, definitivamente parece que a chave privada para o certificado de comunicações de serviço em adfs está inacessível. Se você instalou o adfs como um farm, você terá uma conta de serviço baseada em domínio. se você o construiu como um adfs independente, ele estará usando a conta de serviço de rede incorporada. Esta escolha decide como você configura as permissões no certificado.

você menciona adfs role e adfs 2.0, por isso não tenho certeza se você está usando o adfs 2 em ambos os servidores ou a função inata fornecida com o windows 2008 / R2. Por favor, esclareça.

estes guias passo a passo devem ajudar.

link

para todas as coisas adfs, por favor veja

link

    
por 19.05.2012 / 11:11