Токен Windows NT с ADFS для получения ролей удаленного пользователя

Question

Я создал ADFS Windows NT с поддержкой tokenapp Настроил IIS 7 для включения токена Windows NT в аутентификации и URL ответа как https://adfsweb.treyresearch.net/tokenapp

Я добавил это приложение в приложение adfsresource как приложение на основе токенов Windows NT.

Использование этого файла web.config (http://blogs.technet.com/b/adfs_documentation/archive/2006/08/03/444865.aspx#DSDOC_BKMK_667328988_f5db_446a_9261_00b4)

default.aspx.cs как показано ниже.

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security.Principal;

public partial class _Default : System.Web.UI.Page 
{
    protected void Page_Load(object sender, EventArgs e)
    {
        Label1.Text = HttpContext.Current.User.Identity.Name;
        WindowsIdentity i = (WindowsIdentity)HttpContext.Current.User.Identity;

        IdentityReferenceCollection irc = i.Groups;

        foreach (IdentityReference ir in irc)
        {
            Label2.Text += ir.Translate(typeof(NTAccount)).Value.ToString() + "; ";

        }

    }
}

Работает, пока я вхожу из домена adfsresources с помощью treyresearch, net user.

Если я использую этот URL-адрес tokenappp из домена adatum.com, я получаю сообщение об ошибке, и в журнале событий сервера adfsresource появляется эта ошибка:

Event code: 4011 
Event message: An unhandled access exception has occurred. 
Event time: 11/29/2011 7:20:26 PM 
Event time (UTC): 11/30/2011 1:20:26 AM 
Event ID: ac49318023ee4ba4ab7ab6e0bca78522 
Event sequence: 5 
Event occurrence: 2 
Event detail code: 0 

Application information: 
    Application domain: /LM/W3SVC/1/ROOT/adfs-1-129670890061718750 
    Trust level: Full 
    Application Virtual Path: /adfs 
    Application Path: C:\Windows\SystemData\ADFS\sts\ 
    Machine name: ADFSRESOURCE 

Process information: 
    Process ID: 1892 
    Process name: w3wp.exe 
    Account name: NT AUTHORITY\NETWORK SERVICE 

Request information: 
    Request URL: https://adfsresource.treyresearch.net:443/adfs/ls/clientlogon.aspx 
    Request path: /adfs/ls/clientlogon.aspx 
    User host address: 192.168.10.133 
    User:  
    Is authenticated: False 
    Authentication Type:  
    Thread account name: NT AUTHORITY\NETWORK SERVICE 

Custom event details: 

Значит ли это, что мне нужно иметь доверие Windows поверх доверия ADFS, чтобы использовать маркер Windows NT для удаленных доменов? если это так, то нет смысла доверять ADFS, если мне также нужно доверие домена Windows.

Я могу заставить приложение для заявлений корректно работать из удаленного домена, но я добавил этот новый токен-приложение после того, как был завершен весь импорт экспорта политики доверия http://technet.microsoft.com/en-us/library/cc731103%28WS.10%29.aspx

Я также следил и проверял эту информацию ниже http://technet.microsoft.com/en-us/library/cc734929%28WS.10%29.aspx

Answer 1

Слово предупреждения - эта статья, на которую вы ссылаетесь, была написана в 2006 году и рассказывает о веб-агентах, - другими словами, это ADFS 1.

ADFS 2 - в значительной степени новый продукт.Он был выпущен в 2010 году и больше не имеет понятия агентов.

"Функция" ADFS, которая входит в стандартную комплектацию Windows Server 2008, - это 1, а не 2. Вам необходимо скачать 2 и установить его.

Приложение A. Просмотр требований AD FS 2.0 утверждает, что "AD FS 2.0 не поддерживает приложения на основе маркеров Windows NT."

Однако поддерживается C2WTS (утверждения для токена Windows)обслуживания).