我正在使用ADFS作为身份提供商(idp),通过服务提供商(SP)实施SSO机制。
SP常规网站提供与ADFS的集成,因此足以在我的ADFS中将SP设置为依赖合作伙伴,并为其提供令牌签名证书。
SP的移动应用不提供与ADFS的集成,因此需要构建 Web应用程序(SSOApplication),以跨越SP和SP之间的SSO机制。 ADFS。 SP将请求重定向到SSOApplication,在后台使用SAML查询ADFS,然后,如果验证通过,则将响应发送给SP。
SSOApplication正确地与ADFS通信但我无法为SP签署 SAML响应,因为在令牌签名证书中,与SSL证书相反,没有选项可以导出私钥(尽管MS声称有可能here)。 SP要求Web和Mobile App入口点使用相同的证书,因此我不能使用两个不同的令牌签名证书。
此外,这个证书由与我的ADFS通信的其他SP使用,因此如果我更改证书,我必须将新证书传递给与我们的ADFS集成的其他SP。有没有办法从签名令牌证书中导出私钥?有没有办法在ADFS中为不同的重新分析方使用不同的令牌签名证书?
PS:在ADFS中,我可以导出SSL证书的密钥,但令牌签名的选项不同。
答案 0 :(得分:2)
该链接适用于ADFS 1.x.在ADFS 2.0及更高版本中,它是不可能的。官方方法是在ADFS中创建另一个签名证书并导入。的确,那么所有的SP都需要翻身......
这是官方的答案。现在是黑客。 如果您使用的是具有服务帐户的服务器场,则它位于该帐户的用户存储中。但出口被禁用。如果你知道如何使用来自gentlekiwi的mimikatz(并且知道如何阅读法语:-)),那么你甚至可以解决这个问题。