Question

Я создал пользовательский поставщик аутентификации для AD FS MFA.

Я определил утверждение метода аутентификации в метаданных:

public string[] AuthenticationMethods
{
    get { return new string[] { "https://schemas.microsoft.com/ws/2012/12/authmethod/otp" }; }
}

У меня также есть метод TryEndAuthentication (это только для лабораторных целей я изменю жестко закодированный штифт, как только эта часть сработает):

 public IAdapterPresentation TryEndAuthentication(IAuthenticationContext context, IProofData proofData, System.Net.HttpListenerRequest request, out System.Security.Claims.Claim[] claims)
    {
        claims = null;
        IAdapterPresentation result = null;
        string pin = proofData.Properties["pin"].ToString();
        if (pin == "12345")
        {
            System.Security.Claims.Claim claim = new System.Security.Claims.Claim("https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", "https://schemas.microsoft.com/ws/2012/12/authmethod/otp");
            claims = new System.Security.Claims.Claim[] { claim };
        }
        else
        {
            result = new AdapterPresentation("Authentication failed.", false);
        }
        return result;
    }

Но при развертывании этого в моей AD FS выдается эта ошибка при правильном входе в систему:

Кто-нибудь знает, что пошло не так?

maweeras · Answer 1 · 10 апреля 2020

Я понял это. URI для утверждения schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod должен использовать http. Не https.

Вы должны изменить ниже строки

if (pin == "12345")
        {
            System.Security.Claims.Claim claim = new System.Security.Claims.Claim("https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", "https://schemas.microsoft.com/ws/2012/12/authmethod/otp");
            claims = new System.Security.Claims.Claim[] { claim };
        }

на

if (pin == "12345")
        {
            System.Security.Claims.Claim claim = new System.Security.Claims.Claim("http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", "https://schemas.microsoft.com/ws/2012/12/authmethod/otp");
            claims = new System.Security.Claims.Claim[] { claim };
        }

, и тогда это будет работать.

Я сделал эту же ошибку когда я скопировал образец кода адаптера из https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/development/ad-fs-build-custom-auth-method

, я отправил исправление https://github.com/MicrosoftDocs/windowsserverdocs/pull/4165 на github, которое скоро должно быть зафиксировано.

Поставщик настраиваемой проверки подлинности AD FS не возвратил утверждение метода проверки подлинности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Поставщик настраиваемой проверки подлинности AD FS не возвратил утверждение метода проверки подлинности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы