我正在尝试使用wsfed从我们的索赔提供程序中退出。
我们的索赔提供者(身份服务器4)需要确定它是哪个客户端。
不幸的ADFS没有发送wtream或wres参数。
是否有一种方法可以告诉ADFS包含这些参数之一?
•根据wsignin1.0请求消息,' wtrealm '参数包含在请求消息中,该请求消息指向不同的安全领域,即联邦平台,该平台信任AD域属性,用于其平台上的签名和可访问性目的,而不是在ADFS服务器中创建的依赖方信任。此值作为一个URI呈现,SaaS平台和IdP(即依赖方信任)已同意使用该URI在发送给请求者SaaS平台或STS的消息中标识依赖方的安全领域。
•因此,要配置或更改在请求者通信消息的URI中传递的' wtrealm '参数,请遵循以下步骤:-- 打开ADFS管理控制台,点击任务栏中的"Actions"菜单。
- 右键单击ADFS选项并单击"编辑联邦属性"。进入联邦服务属性窗口。
- 选择"联邦服务标识符"选项并编辑为其配置信任的域/STS/IP/客户端的值。
•因为'联邦服务标识符'的值仅是在IdP和安全领域或联邦SaaS平台的登录和签出期间发送的请求消息URI中的' wtrealm '参数的值。此外,如果您在登录联邦平台时遇到问题,您可以检查您的ADFS服务器是否支持多个联邦域。为此,您还可以配置依赖方联合信任以支持多个域,方法是使用' - supportmultidomain '开关更新它们,如下面的示例所示:-
‘ Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain ’
请查看以下链接获取更多信息:-
https://learn.microsoft.com/en - us/openspecs/windows_protocols/ms mwbf/54759c9b - 4298 - 44 - f7 - 9026 f5ee815594d8
https://learn.microsoft.com/en-us/troubleshoot/azure/active-directory/federation-service-identifier-specified