使用 ADFS 重新进行身份验证？

Question

我的任务是编写一个使用 ADFS 进行身份验证的 ASP.NET Web 应用程序。但是，在应用程序的某个阶段，用户必须重新进行身份验证并再次提供其用户名和密码。

这可以通过 ADFS 来完成吗？

Answer 1

ASP.NET 应用程序可以是 STS 的主动客户端，也可以是被动客户端。当您需要采取行动时，提供一些输入字段并要求用户提供额外的身份证明。使用 WSTrustChannelFactory 将此信息（可能还有原始令牌）传递给STS 获取更新的新代币，并且包含足以授权更高价值交易的声明。

Answer 2

重认证的目的是什么，即用户需要证明什么？

我假设应用程序需要具有最近身份验证时间戳（例如，最后 10 秒内）的登录令牌，以便应用程序可以合理地确定客户端系统确实仍在同一用户的控制之下。

（顺便说一句，请注意您的 Web 服务器和 AD FS 服务器之间的时钟差异。）

在接下来的几个月中，我将调查类似的场景，我当前的想法是使用 SessionAuthenticationModule.SessionSecurityTokenReceived 事件，如 Vittorio Bertocci 的这篇博文< /a>.但是，这并不是完整的解决方案，因为这仅强制 AD FS 给出令牌，但不会强制 AD FS 给出具有最近身份验证时间戳的令牌。

所以还没有答案，但也许这些提示有帮助。

Answer 3

这篇文章介绍了一个“升级”过程，可能会帮助您这个场景。不过我没用过，所以无法详细评论。它看起来非常接近您想要做的事情。

Answer 4

减少 TokenLifetime 属性使您可以重新验证用户身份。假设 TokenLifetime 默认为 60 分钟，但它在 20 分钟之前显示弹出窗口。但可能会出现数据丢失的情况

Answer 5

对于使用 WIF 的 ASP.NET，您使用 WS-Federation 作为与 ADFS 交互并获取令牌的协议。在此范围内，您可以在 ADFS 的登录请求中指定 wrefresh=0。发送此消息后，ADFS 会忽略任何先前的 cookie 状态（Web SSO）并执行新的身份验证，因此将向应用程序颁发新令牌。如果是内网域加入机器的情况下，这将是无声的。

要进行用户交互，您可以执行以下两件事之一：

• 对于 2012R2，我建议您使用 MFA，并且应用程序可以通过在此“升级”场景中请求 MFA 来请求 MFA。请参阅http://blogs.msdn.com/b/ramical/archive/2014/02/18/under-the-hood-tour- on-multi-factor-authentication-in-ad-fs-part-2-mfa-aware-relying-parties.aspx
• 除此之外，您还可以强制进行用户名/密码身份验证并将其与 wrefresh=0 结合起来。这可确保忽略先前的 SSO 状态并执行 U/P 身份验证。

谢谢
//萨姆（@MrADFS）