使用 ADFS 2.0、SAML 2.0 和 simpleSAMLphp 配置 SSO

Question

我对这些系统的了解并不多，所以如果我问了一些愚蠢的问题，请原谅我。

我希望实现以下目标：

Idp (AD FS 2.0) -> SAML 2.0-> Sp (simpleSAMLphp)

*除了简单地验证用户身份之外，我不需要任何更奇特的东西。

我尝试将 Windows Server 2008 配置为使用 AD FS 2.0（域 A）作为身份提供程序，并让它处理来自不同域（使用 simpleSAMLphp（域 B）创建）上的服务提供程序的身份验证请求。

AD FS 2.0 管理应用程序允许我添加来自 SP 的原始元 XML 来配置 idp。我的 SP 也有能力做同样的事情。所以我认为，如果我正确设置 idp (AD FS 2.0)，那么我只需让 SP 解释 idp 的元数据即可。

目前我觉得我已经接近解决方案了（但我可能又错了！）。目前，当 Idp 要求您提供登录凭据时，一切似乎都已找到，并且我输入了我的凭据，会话似乎已开始，但我收到“未授权 - HTTP 错误 401”。请求的资源需要用户身份验证。输入正确的登录凭据后显示消息。

有人可以解释一下如何解决这个问题吗？或者，如果使用 SAML 2.0 进行 AD FS 2.0 身份验证以简单地验证用户名和密码，则逐步设置会更快。

预先感谢您的任何提示！

Answer 1

您是否在 ADFS 2.0 管理中建立了索赔提供商信任？您的系统需要接受来自受信任的声明提供者的声明承载令牌。也就是说，无论您的用户存储库前面有什么 STS（“安全令牌服务”）。 ADFS 既可以是“依赖方”（RP），也可以是 STS。您需要依赖方和 STS。

查看 Eugenio Pace 的 MSDN 博客了解更多详细信息：

http://blogs。 msdn.com/b/eugeniop/archive/tags/federated+identity/