时间戳

首页 > 解决方案 > 将 mvc 5 adfs 转换为 .net core adfs

c# - 将 mvc 5 adfs 转换为 .net core adfs

问题描述

我有一个成功使用本地活动目录联合服务的现有 mvc 5 应用程序

相关的网络配置设置

 <appSettings>
    <add key="ida:Issuer" value="https://www.fedsvc3copa.beta.pa.gov/adfs/ls/"/>
  </appSettings>

 <authority name="http://www.fedsvc3copa.beta.pa.gov/adfs/services/trust">
          <keys>
            <add thumbprint="xxxxxxxxxxxxxxx"/>
          </keys>
          <validIssuers>
            <add name="http://www.fedsvc3copa.beta.pa.gov/adfs/services/trust"/>
          </validIssuers>
        </authority>

           <federationConfiguration>
      <cookieHandler requireSsl="true"/>

      <wsFederation passiveRedirectEnabled="true" issuer="https://www.fedsvc3copa.beta.pa.gov/adfs/ls/" realm="https://localhost:44363/" requireHttps="true"/>
    </federationConfiguration>

尝试为 .net core mvc 应用程序做同样的事情。但我有点困惑在startup.cs中放什么

我正在关注https://docs.microsoft.com/en-us/aspnet/core/security/authentication/ws-federation?view=aspnetcore-2.1

所以我有

 .AddWsFederation(options =>
      {
        // MetadataAddress represents the Active Directory instance used to authenticate users.
        options.MetadataAddress = "https://www.fedsvc3copa.beta.pa.gov/federationmetadata/2007-06/FederationMetadata.xml";

        // Wtrealm is the app's identifier in the Active Directory instance.
        // For ADFS, use the relying party's identifier, its WS-Federation Passive protocol URL:
        options.Wtrealm = "https://localhost:44363/";

        // For AAD, use the App ID URI from the app registration's Properties blade:
        options.Wtrealm = "???????";
      });

我不知道在 AAD 领域放什么,因为我没有使用 azure。我也不需要指纹和发行人吗?http://www.fedsvc3copa.beta.pa.gov/adfs/services/trust

标签: c#asp.net-mvcauthentication.net-coreadfs

解决方案

要回答您的第一个问题:

如果您不使用 Azure,则无需担心 AAD。实际上,您要确保.Wtrealm没有配置两次。所以只需删除第二个。

要回答关于指纹和发行人的第二个问题:

我认为您不需要这些值,但它们可能很好地包括查看指纹和颁发者值用于验证令牌。

我试图在下面属于startup.cs文件的代码中复制所有原始配置设置。your x.509 cert string可以从位于 MetadataAddress url 的 xml 文件中检索该值。它将在<X509Certificate>标签之间。

var rawCertData = Convert.FromBase64String("your x.509 cert string");
X509Certificate2 cert = new X509Certificate2(rawCertData);
SecurityKey signingKey = new X509SecurityKey(cert);
    services.AddAuthentication()
        .AddWsFederation(options => {
            options.MetadataAddress = "https://www.fedsvc3copa.beta.pa.gov/federationmetadata/2007-06/FederationMetadata.xml";
            options.Wtrealm = "https://localhost:44363/";
            options.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters {
                ValidateIssuer = true,
                ValidIssuer = "http://www.fedsvc3copa.beta.pa.gov/adfs/services/trust",
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = signingKey
            };
            options.RequireHttpsMetadata = true;
        }).AddCookie(cookieoption => {
            cookieoption.Cookie.SecurePolicy = CookieSecurePolicy.Always;
        });

注意:通过此配置,我可以访问您的 adfs 登录页面。但是,我无法登录,因为我没有权限;所以我不知道您登录后 POST 上会发生什么。如果您有问题,请随时告诉我。

推荐阅读