FYI:请参见2019年2月12日更新
我创建了一个ASP.NET MVC应用程序(使用Visual Studio),并尝试使用Active Directory联合服务器处理SSO。请注意,这不是使用Azure。
因此,第一步起作用-我导航到我的登录页面,有一个按钮允许我登录到另一个服务[“联合”]。这将启动ADFS网页,在那里我输入我的凭据,但返回到我的网站时,我收到以下错误:
IDX10214:受众验证失败。受众群体:'[PII is hidden]'。 未匹配:validationParameters.ValidAudience:'[PII is hidden]' 或validationParameters.ValidAudiences:'[PII is hidden]'。
异常详细信息: Microsoft.IdentityModel.Tokens.SecurityTokenInvalidAudienceException: IDX10214:受众验证失败。受众群体:'[PII is hidden]'。 未匹配:validationParameters.ValidAudience:'[PII is hidden]' 或validationParameters.ValidAudiences:'[PII is hidden]'。
显然,我没有正确设置这个....所以需要知道我缺少什么...
这是我的(简化的)代码:
(Note: 在上面的认证元素中,智能感知给了我“联合”的选项,但这会导致编译错误)。
一个有用的资源是alligatortek,但那并没有填补所有的空缺。还有其他的资源看起来很接近,但不够具体。
更新于2019年2月12日:根据下面的评论,我被建议改为按照Vittorio Bertocci的文章的方法,使用“On-Premesis”选项(这与Rober Finch的文章几乎完全相同)。生成的代码有点不同(见下文),但结果仍然相同。
我创建了一个ASP.NET MVC应用程序(使用Visual Studio),并尝试使用Active Directory联合服务器处理SSO。请注意,这不是使用Azure。
因此,第一步起作用-我导航到我的登录页面,有一个按钮允许我登录到另一个服务[“联合”]。这将启动ADFS网页,在那里我输入我的凭据,但返回到我的网站时,我收到以下错误:
IDX10214:受众验证失败。受众群体:'[PII is hidden]'。 未匹配:validationParameters.ValidAudience:'[PII is hidden]' 或validationParameters.ValidAudiences:'[PII is hidden]'。
异常详细信息: Microsoft.IdentityModel.Tokens.SecurityTokenInvalidAudienceException: IDX10214:受众验证失败。受众群体:'[PII is hidden]'。 未匹配:validationParameters.ValidAudience:'[PII is hidden]' 或validationParameters.ValidAudiences:'[PII is hidden]'。
显然,我没有正确设置这个....所以需要知道我缺少什么...
这是我的(简化的)代码:
Startup.Auth.cs
public partial class Startup
{
public void ConfigureAuth(IAppBuilder app)
{
// Configure the db context, user manager and signin manager to use a single instance per request
app.CreatePerOwinContext(ApplicationDbContext.Create);
app.CreatePerOwinContext<ApplicationUserManager>(ApplicationUserManager.Create);
app.CreatePerOwinContext<ApplicationSignInManager>(ApplicationSignInManager.Create);
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationType = WsFederationAuthenticationDefaults.AuthenticationType
});
app.UseExternalSignInCookie(DefaultAuthenticationTypes.ExternalCookie);
ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(ValidateServerCertificate);
app.UseWsFederationAuthentication(new WsFederationAuthenticationOptions
{
MetadataAddress = "https://adfs.Mydomain.com/FederationMetadata/2007-06/FederationMetadata.xml",
Wtrealm = "https://myWebServer/myWebApplication"
});
}
private bool ValidateServerCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslpolicyerrors)
{
return true; // Our "TEST" ADFS has a fake certficate, so we don't want to validate it.
}
}
Web.Config中的Sections
<appSettings>
<add key="webpages:Version" value="3.0.0.0" />
<add key="webpages:Enabled" value="false" />
<add key="ClientValidationEnabled" value="true" />
<add key="UnobtrusiveJavaScriptEnabled" value="true" />
<add key="ClaimsNameIdentifier" value="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier" />
<add key="ClaimsUPNIdentifier" value="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" />
<add key="ClaimsEmailIdentifier" value="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" />
</appSettings>
<system.web>
<authentication mode="None" />
<compilation debug="true" targetFramework="4.7.1" />
<httpRuntime targetFramework="4.7.1" />
</system.web>
(Note: 在上面的认证元素中,智能感知给了我“联合”的选项,但这会导致编译错误)。
一个有用的资源是alligatortek,但那并没有填补所有的空缺。还有其他的资源看起来很接近,但不够具体。
更新于2019年2月12日:根据下面的评论,我被建议改为按照Vittorio Bertocci的文章的方法,使用“On-Premesis”选项(这与Rober Finch的文章几乎完全相同)。生成的代码有点不同(见下文),但结果仍然相同。
Startup.Auth.cs
public partial class Startup
{
private static readonly string realm = ConfigurationManager.AppSettings["ida:Wtrealm"];
private static readonly string adfsMetadata = ConfigurationManager.AppSettings["ida:ADFSMetadata"];
/// <summary>
/// Configures the authentication.
/// </summary>
/// <param name="app">The current application.</param>
public void ConfigureAuth(IAppBuilder app)
{
app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
app.UseCookieAuthentication(new CookieAuthenticationOptions());
ServicePointManager.ServerCertificateValidationCallback = this.ValidateServerCertificate;
app.UseWsFederationAuthentication(
new WsFederationAuthenticationOptions
{
Wtrealm = Startup.realm,
MetadataAddress = Startup.adfsMetadata
});
}
private bool ValidateServerCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslpolicyerrors)
{
return true; // Skips certificate validation as using a temp certificate.
}
}
Web.Config中的部分
<appSettings>
<add key="webpages:Version" value="3.0.0.0" />
<add key="webpages:Enabled" value="false" />
<add key="ClientValidationEnabled" value="true" />
<add key="UnobtrusiveJavaScriptEnabled" value="true" />
<add key="ida:ADFSMetadata" value="https://adfs.Mydomain.com/FederationMetadata/2007-06/FederationMetadata.xml" />
<add key="ida:Wtrealm" value="https://myWebServer/myWebApplication" />
</appSettings>