我有一个在某些情况下使用 ADFS 身份验证的项目。配置是从数据库中读取的,并且 URL 因客户而异,因此有许多配置选项我无法在我的Web.config中硬编码。
问题是我收到以下错误:
ID1032:当 AudienceUriMode 设置为"Always"或"BearerKeyOnly"时,必须在 SamlSecurityTokenRequirement 中指定至少一个"受众 Uri">
但我并不总是得到它,我无法重现它。这很烦人,因为只要我不能重现它,我就无法真正调试它。而且我不确定我是否做对了一切。也许一些ADFS专家可以看看它。
(当然,我的信赖方与其相应的 ADFS 服务器之间已建立信任关系。
这是我的代码(只有有趣的部分(,请询问是否有任何缺失或不清楚的地方。
我Web.config的一些片段:
<system.webServer>
<modules>
<add name="WSFederationAuthenticationModule" type="Microsoft.IdentityModel.Web.WSFederationAuthenticationModule, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" preCondition="managedHandler" />
<add name="SessionAuthenticationModule" type="Microsoft.IdentityModel.Web.SessionAuthenticationModule, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" preCondition="managedHandler" />
<add name="ClaimsPrincipalHttpModule" type="Microsoft.IdentityModel.Web.ClaimsPrincipalHttpModule, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" preCondition="managedHandler" />
<!-- ... -->
</modules>
<!-- ... -->
</system.webServer>
<microsoft.identityModel>
<service>
<securityTokenHandlers>
<remove type="Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler" />
<add type="MyProject.MachineKeySessionSecurityTokenHandler" />
</securityTokenHandlers>
<federatedAuthentication>
<wsFederation passiveRedirectEnabled="false"
issuer="https://fail/IssuerEndpoint"
realm="https://fail/FederationResult"
homeRealm="https://fail"
requireHttps="true" />
</federatedAuthentication>
</service>
</microsoft.identityModel>
这些失败值将在每个请求中被覆盖(请参阅下面的Login()方法(,但我必须在Web.config中指定一些内容,所以我选择至少指定一个有效的 URI。必须替换默认SessionSecurityTokenHandler,因为我的服务在多台具有 DNS 轮循机制(共享同一计算机密钥(的计算机上运行。
然后我有一个我称之为AdfsTrustFilter的类,它实现了IAuthorizationFilter。我知道这有点开销,但由于项目结构,此过滤器用作每个请求的全局过滤器(顺序是整个项目中的最小值(。在OnAuthorization方法中,我按如下方式完成配置:
public sealed class AdfsTrustFilter : IAuthorizationFilter
public void OnAuthorization(AuthorizationContext filterContext)
// ...
var fam = FederatedAuthentication.WSFederationAuthenticationModule;
fam.ServiceConfiguration = new ServiceConfiguration
{
AudienceRestriction = new AudienceRestriction(AudienceUriMode.Always),
CertificateValidationMode = X509CertificateValidationMode.PeerOrChainTrust,
// MyIssuerNameRegistry checks whether a fingerprint is known and some other stuff
IssuerNameRegistry = new MyIssuerNameRegistry()
};
// config.OwnPath contains something like "https://my.app.com/AppRoot/"
fam.ServiceConfiguration.AudienceRestriction.AllowedAudienceUris.Add(new Uri(config.OwnPath));
}
}
这是启动身份验证的代码:
public ActionResult Login()
{
// ...
// again something like "https://my.app.com/AppRoot/"
string baseUrl = Config.OwnPath.TrimEnd('/') + "/";
// adfs endpoint for this customer: i.e. "https://identity.provider.net/adfs/ls/"
string endpoint = Config.AdfsConfig.IdentityProvider.Endpoint;
// the code behind FederationResult is shown below
var signIn = new SignInRequestMessage(new Uri(endpoint), baseUrl + "/Adfs/FederationResult")
{
Context = baseUrl
};
var url = signIn.WriteQueryString();
return Redirect(url);
}
最后是FederationResult回调:
public ActionResult FederationResult()
{
WSFederationAuthenticationModule fam = FederatedAuthentication.WSFederationAuthenticationModule;
HttpRequest request = System.Web.HttpContext.Current.Request;
if (fam.CanReadSignInResponse(request, true))
{
var id = (IClaimsIdentity) User.Identity;
// do something
}
// ...
}
PS:ADFS服务器最近从2008 R2升级到2012,但这并没有改变任何东西。ADFS 版本始终为 2.0。
由于异常说你需要 audienceUri,我会首先在下面添加一个
<microsoft.IdentityModel>
<service>
<audienceUris>
<add value="https://yourdomain/theaudienceuri" />
受众 URI 是返回到应用程序的 Uri。您可以覆盖引擎以接受任意返回结果,这不会改变您在配置中确实至少需要一个 uri 的事实。