本文将讲解如何让MVC应用程序与ADFS集成,完成认证的过程。

目录:

实战:ADFS3.0单点登录系列-总览

实战:ADFS3.0单点登录系列-前置准备

实战:ADFS3.0单点登录系列-ADFS3.0安装配置

实战:ADFS3.0单点登录系列-集成SharePoint

实战:ADFS3.0单点登录系列-集成MVC

实战:ADFS3.0单点登录系列-集成Exchange

实战:ADFS3.0单点登录系列-自定义ADFS样式

实战:ADFS3.0单点登录系列-问题汇总

一.配置ADFS

步骤基本与上一篇相同,只是在添加转换声明规则向导的时候有细微差别,根据实际情况,声明映射有差别,我这里使用upn映射到名称。

在MVC应用程序中,使用httpContext.User.Identity.Name可以获取登录人的信息,当然是xxx@domain.com的形式。关于如何添加其他信息的映射,例如真实姓名等,有需要在后续章节会介绍。

二 MVC应用程序中的配置

这里会介绍两种方式(我这里使用的VS2013),两种方法分别适用于不同的场景:

方案一适用于新建的应用程序(前提是已经有了ADFS环境)

方案二适用于已经存在的项目。

方案一:自动感知方式

1.打开VS,点击新建项目,并创建MVC应用程序

2.依次点击更改身份验证->组织账户—>本地

在本地颁发机构输入ADFS元数据地址,格式为:

https://{ FQDN}/ FederationMetadata/2007-06/FederationMetadata.xml

例如:https://sts.tt.com/FederationMetadata/2007-06/FederationMetadata.xml

,应用ID Uri可空,待正式部署时进行修改。

点击保存之后,VS会自动将需要的配置(web.config)和DLL进行修改和加载。

方案二:手动配置方案

1.<configSections>节点下增加配置项:

<section name="system.identityModel" type="System.IdentityModel.Configuration.SystemIdentityModelSection, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />

<section name="system.identityModel.services" type="System.IdentityModel.Services.Configuration.SystemIdentityModelServicesSection, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />

2.<appSettings>节点下增加配置项:

<add key="ida:FederationMetadataLocation" value="https://sts(ADFS地址)/FederationMetadata/2007-06/FederationMetadata.xml" />

<add key="ida:Realm" value="https://xxxxx/(应用程序地址)" />

<add key="ida:AudienceUri" value="https://xxxxx/(应用程序地址)" />

3.<system.web>节点下增加和修改配置项:

<authentication mode="None" />

<authorization>

<deny users="?" />

</authorization>

4.<system.webServer>节点下增加和修改配置项:

<modules>

<add name="WSFederationAuthenticationModule" type="System.IdentityModel.Services.WSFederationAuthenticationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" preCondition="managedHandler" />

<add name="SessionAuthenticationModule" type="System.IdentityModel.Services.SessionAuthenticationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" preCondition="managedHandler" />

</modules>

5.</configuration>之前增加配置节

<system.identityModel>

<identityConfiguration>

<audienceUris>

<add value="https://localhost:44300/" />

</audienceUris>

<securityTokenHandlers>

<add type="System.IdentityModel.Services.Tokens.MachineKeySessionSecurityTokenHandler, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />

<remove type="System.IdentityModel.Tokens.SessionSecurityTokenHandler, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />

</securityTokenHandlers>

<certificateValidation certificateValidationMode="None" />

<issuerNameRegistry type="System.IdentityModel.Tokens.ValidatingIssuerNameRegistry, System.IdentityModel.Tokens.ValidatingIssuerNameRegistry">

<authority name="http://ADFS/adfs/services/trust">

<keys>

<add thumbprint="6DBC99C8BFB07435495849EC538E8A54A5587963" />(这里的证书指纹为ADFS令牌签名证书的指纹)

</keys>

<validIssuers>

<add name="http://ADFS/adfs/services/trust" />

</validIssuers>

</authority>

</issuerNameRegistry>

</identityConfiguration>

</system.identityModel>

<system.identityModel.services>

<federationConfiguration>

<cookieHandler requireSsl="true" />

<wsFederation passiveRedirectEnabled="true" issuer="https://ADFS/adfs/ls/" realm="https://xxx/" requireHttps="true" />

</federationConfiguration>

</system.identityModel.services>

6.dll引用

1)Web项目右键 添加引用 找到system.identityModel和system.identityMoel.services并选择确认

2)Nugget方式添加System.IdentityModel.Tokens.ValidatingIssuerNameRegistry

这样就手动完成了整个的配置过程。主要是对web.config进行修改的对dll的引用。

注意事项:

如果遇到这个错误:

解决方案:

在Global.asax中的 Application_Start()方法中增加如下代码:

AntiForgeryConfig.UniqueClaimTypeIdentifier = ClaimTypes.Name;

意思是告诉MVC,使用的声明类型是 Name。

如遇到如下错误:

Cookie加解密错误,尝试使用ProtectedData API解密Cookie出现错误

解决方案:

这个错误是因为多个应用程序都使用了默认的cookieName,因此只需要将不同应用程序的cookiehandler配置节配置为不同的名称即可。

如果遇到如下错误:

解决方案:

这个错误是由于未正确配置指纹导致的,需要使用的是ADFS令牌签名证书的指纹,按如下步骤找到正确的证书指纹即可。

实战:ADFS3.0单点登录系列-集成MVC的更多相关文章

  1. 实战:ADFS3.0单点登录系列-集成SharePoint

    这是本系列第四篇了,终于轮到SharePoint上场了,但是本文不会过多讲解SharePoint安装等话题,而是直入主题,讲解如何进行配置,让其于ADFS配合完成SSO的工作. 注意:本文使用的Sha ...

  2. 实战:ADFS3.0单点登录系列-集成Exchange

    本文将介绍如何将Exchange与ADFS集成,从而实现对于Exchange的SSO. 目录: 实战:ADFS3.0单点登录系列-总览 实战:ADFS3.0单点登录系列-前置准备 实战:ADFS3.0 ...

  3. 实战:ADFS3.0单点登录系列-总览

    本系列将以一个实际项目为背景,介绍如何使用ADFS3.0实现SSO.其中包括SharePoint,MVC,Exchange等应用程序的SSO集成. 整个系列将会由如下几个部分构成: 实战:ADFS3. ...

  4. 实战:ADFS3.0单点登录系列-前置准备

    本文为本系列第二篇,主要分为两部分进行介绍, 一.网络拓扑 二.证书制作 还是将本系列目录贴出来,方便导航 实战:ADFS3.0单点登录系列-总览 实战:ADFS3.0单点登录系列-前置准备 实战:A ...

  5. 实战:ADFS3.0单点登录系列-ADFS3.0安装配置

    本文为系列第三章,主要讲下ADFS3.0的安装和配置.本文和前面的文章是一个系列,因此有些地方是有前后关联,比如本文中使用的通配符证书就是第二篇讲解的,因此需要连贯的进行阅读. 全文目录如下: 实战: ...

  6. cas sso单点登录系列4_cas-server登录页面自定义修改过程(jsp页面修改)

    转:http://blog.csdn.net/ae6623/article/details/8861065 SSO单点登录系列4:cas-server登录页面自定义修改过程,全新DIY. 目标:    ...

  7. Office 365实现单点登录系列(1)—域环境搭建

    Hello 小伙伴们, 2018新年快乐,作为2018年首篇文章,怎么能不给大家带来点干货呢?这篇文章其实我9月底的时候已经在MSDN上发布过了,为表诚意,我更新了这篇文章,并把它组成了一个系列,2. ...

  8. SSO单点登录系列4:cas-server登录页面自定义修改过程(jsp页面修改)

    落雨 cas 单点登录 SSO单点登录系列4:cas-server登录页面自定义修改过程,全新DIY. 目标:    下面是正文: 打开cas的默认首页,映入眼帘的是满眼的中文and英文混杂体,作为一 ...

  9. 2、cas4.0 单点登录 之 cas-client

    cas4.0 单点登录 之 cas-client cas4.0 单点登录 之 https证书已经做好了证书的准备工作.如今结合cas-server来配置单点登录: 一.安装cas服务端(cas-ser ...

随机推荐

  1. hdu1053

    #include<iostream> #include<algorithm> using namespace std; bool cmp(int a,int b) { retu ...

  2. streaming kafka direct 详解

    http://blog.cloudera.com/blog/2015/03/exactly-once-spark-streaming-from-apache-kafka/ http://www.jia ...

  3. Unity3D -- shader光照常用函数和变量

    上一篇记录了shader常用函数和变量,这篇记录一些光照计算时常用函数和变量 1.内置的光照变量 _LightColor0 float4 //该Pass处理的逐像素光源的颜色 _WorldSpaceL ...

  4. 解决Navicat无法连接到Mysql

    Navicat无法连接到Mysql,返回的错误码是Lost connection to MySQL server at ‘reading initial communication packet’, ...

  5. Hibernate单表映射学习笔记之一——hibernalnate开发环境配置

    1.什么是ORM? Object/Relationship Mapping:对象/关系映射 2.写SQL语句不好之处: (1)不同数据库使用的SQL语法不同(PL/SQL.T/SQL) (2)同样的功 ...

  6. CTO成长之路分享会

    1. 李宏玮,纪源资本合伙人GGV,设计无人机,典型的投资: VC做投资,收入利润上市技术团队,架构支撑前沿科技,以后牛逼公司以技术为主 2. 小红书tiger2003加入谷歌,之前学phpgoogl ...

  7. 自定义进度条PictureProgressBar——从开发到开源发布全过程

    自定义进度条PictureProgressBar——从开发到开源发布全过程 出处: 炎之铠邮箱:yanzhikai_yjk@qq.com 本文原创,转载请注明本出处! 本项目JCenter地址:htt ...

  8. js new一个对象的过程,实现一个简单的new方法

    对于大部分前端开发者而言,new一个构造函数或类得到对应实例,是非常普遍的操作了.下面的例子中分别通过构造函数与class类实现了一个简单的创建实例的过程. // ES5构造函数 let Parent ...

  9. STP-18-Port-Channl上的负载均衡

    Ether Channel通过在多条链路上传输多个数据帧,增加了可用带宽.一个以太网帧总是通过一个Ether Channel中的一条链路传输.针对数据帧地址字段执行散列计算能够产生一个编号,标识这个数 ...

  10. 机器学习(四) SVM 支持向量机

    svr_linear = SVR('linear') #基于直线 svr_rbf = SVR('rbf') #基于半径 svr_poly = SVR('poly') #基于多项式