ADFS中的自定义身份验证适配器作为主要步骤
问题描述:
我们有一个涉及使用ADFS作为其访问控制服务器的第三方Web应用程序的设置。这很好用了一段时间。ADFS中的自定义身份验证适配器作为主要步骤
现在我们需要在ADFS
中安装自定义身份验证策略,以便将身份验证过程委托给另一个自定义内部构建的服务器并采用自定义动态规则。
从我们的理解,这是一般ADFS认证管道的鸟瞰图:
基本上,它很容易定制,二次步增强的认证过程,但它不可能跳过Primary
身份验证子进程。
我们还是设法实现Multi Factor Authentication Adapter
(基本上是一个.NET其签约的ADFS
约定组装),并成功地在我们ADFS
安装:
不幸的是,我们的形势要求我们定制的第一步并对各种情况作出不同的反应。例如:
-
也许主机这验证与
AD
-
也许反应定制的,非
ADFS
OAuth
访问令牌凭据定制登录表单 - 等
让最终用户不得不提供凭证来处理交易中断。
有没有人有关于如何实现这个想法?
我们在Windows Server 2012 R2
上使用ADFS
。此版本的ADFS
不需要预先安装IIS
。
我们发现了一篇关于ADFS 2.0
的有趣文章,它比我们使用的要旧很多,并且需要IIS
。本文提供了如何改变在什么似乎是主要的验证步骤登入网页的例子:
我们没能复制我们的ADFS
那个例子。
答
根据@maweeras,您无法使用ADFS 3.0或更高版本。
ADFS 2.1及更低版本在IIS上运行,因此您可以访问该网站并可以对代码进行更改。
这导致人们引入各种安全漏洞,ADFS因此被指责而被锁定。
根据该建议,联邦例如与身份服务器是开源的,并在那里做改变。
你正在尝试的是不可能的。 2012 r2上的Adfs设置了您不能更改或自定义的主要auth提供程序。 wiki只是在讨论如何对auth处理程序的顺序进行排序。您最好的选择是使用另一个Idp作为索赔提供商信任。 – maweeras