Por que o ADFS não está passando credenciais com a autenticação integrada do Windows?

3

Temos uma instância do ADFS 2.0 configurada. Usamos para o login único de aplicativo da web de terceiros. Tudo funciona perfeitamente com o aplicativo existente, o App1 com o SAML 2.0, incluindo o IWA pass-through quando os usuários são redirecionados para o nosso servidor ADFS.

Acabei de configurar uma segunda Parte Confiante de Confiança para outro aplicativo, o App2, usando o SAML 2.0. Estamos usando todas as configurações padrão do AD FS, incluindo endpoints. Na página de configuração de SAML desse aplicativo, eu disse que nosso ponto de extremidade SAML é " link ". Tudo funciona bem, exceto que os usuários são solicitados por credenciais; O ADFS não está usando o IWA para esses logins.

Estou testando a partir de uma estação de trabalho associada ao domínio local usando o IE9. DNS interno aponta para o nosso servidor ADFS associado ao domínio local, pontos DNS externos para o nosso proxy DMZ ADFS. "* .mydomain.com" está na zona Sites confiáveis no IE por GPO e é aplicado. IWA está habilitado no IE. O IE limpa seu cache / cookies / histórico toda vez que eu o fecho. Ambos os aplicativos estão usando o início de sessão do SP e enviam suas asserções para o mesmo URL de terminal do nosso lado.

Se eu tentar efetuar login no App2 em uma sessão limpa, receberei uma página de login do ADFS. Se eu inserir credenciais, estou conectado ao aplicativo e posso continuar.

Se eu tentar efetuar login no App1 em uma sessão limpa, sou redirecionado imediatamente para o ADFS, a IWA é transmitida e estou conectado ao aplicativo e posso continuar.

Se eu tentar efetuar login no App2 na mesma sessão depois de fazer o login no App1, sou redirecionado para o ADFS, a sessão de login do ADFS iniciada por App1 é usada e, em seguida, sou redirecionada imediatamente para a declaração do App2 URL de serviço ao consumidor e uma página de erro.

Meu melhor palpite é que estou faltando alguma coisa na configuração do RPT. Tudo o que o SP me deu é o URL do ponto de extremidade do serviço ao consumidor usando uma ligação POST. Eu tive que adivinhar as regras de reclamação. O SP não usa criptografia.

App2 O atendimento ao cliente foi ... difícil. O suporte técnico deles é no exterior, então eu só recebo respostas uma vez por dia, por volta da meia-noite, hora local. A maioria de suas respostas são padrão "copiar e colar do KB". Eles preferem o logon iniciado pelo IdP, mas dizem que suportam o SP iniciado - o que parece ser verdade, já que o SSO funciona em uma sessão limpa após o login na página de login do ADFS.

Alguém sabe o que me falta?

    
por Thomas 30.06.2015 / 20:21

1 resposta

2

O método de autenticação pode ser configurado e solicitado. Os mesmos identificadores são usados no SAML e no WS-Fed.

Solicitado no WS-Fed vai para whr = e no SAML ele vai para a Classe de Contexto de Autenticação. No SAML, é possível especificar uma "Comparação" (exata, mínima, etc., mas você deve concordar com o pedido). O ADFS (neste momento) não presta atenção ao atributo Comparison.

Geralmente, as políticas podem ser definidas para usar níveis específicos para aplicativos específicos (RP / SP). Às vezes, pode ser configurado de forma diferente, dependendo do endereço de origem, etc.

    
por 05.07.2015 / 09:58