如何使用ADFS作为身份提供程序

Question

经过2天的研究，现在我假设ADFS可以用作身份提供者，它使用Active Directory作为其存储库（这意味着我们可以存储识别用户所需的用户名，密码）。我的混淆是

• 当用户在SP中打开登录页面并且有信任时 SP和ADFS（IP）之间的关系，IP是否占用了窗口 登录UserId以从活动目录中检查用户？
• 如果验证成功，则IP发送 用户信息（作为SAML响应）到SP，以便我可以创建 登录用户的会话？
• 我该怎么办，如果用户从SP退出，我是否也必须这样做 IP中的清除会话（现在是ADFS）

如果我的假设是正确的，如何将ADFS实现为身份提供商（IP）并在Asp.net应用程序（服务提供商）中使用其服务？

Answer 1

1. 当SP注意到用户未登录时，会将用户发送给IDP。这是登录页面的显示位置。可以将ADFS配置为根据登录的Windows用户对用户进行身份验证。
2. 是ADFS可以配置为在SAML响应中返回用户信息。这被定义为ADFS中的声明
3. 当用户在SP中注销时，SP应该向IDP发送SAML LogoutRequest以删除IDP上的会话。

Here is a library I have seen others use for .net 另一种选择是在您的应用程序前使用Shibboleth等产品

Answer 2

您的问题是：＆＃34;如何将ADFS实施为身份提供商（IP）并在Asp.net应用程序（服务提供商）中使用其服务＆＃34;

然后你用SAML标记了它？

您为什么要使用SAML？ （在这里我说的是SAML协议不是SAML的令牌）。

只需使用支持OOTB的WS-Federation和WIF。 WS-Fed也使用SAML令牌。

如果您想使用SAML，请参阅SAML : SAML connectivity / toolkit和SAML : ASP.NET MVC application talking to SAML IDP 。