Microsoft Online の WS-Federation プロトコルを使用して、SharePoint Online への ADFS 認証を行っています。
このプロセスで本当に混乱する部分は、WS-Federationプロトコルの「wasignin」操作です。これは、マイクロソフト。
パラメータ内にエンコードされたパラメータがあるため、混乱を招きますwctx。
これはwctx、フォーム パラメータのエンコードされた文字列です。パラメータは、この場合は Microsoft の WS-Federation の実装の内部にあります。Microsoft の wctx には、次の 2 つのパラメータが含まれているようです。
estsredirect= 何らかの整数。つまり2
estsrequest= base64でエンコードされた文字列
しかし、それらは何をするのでしょうか? 私が見つけたどこにも文書化されていません。
見るhttps://blogs.technet.microsoft.com/askpfeplat/2014/11/02/adfs-deep-dive-comparing-ws-fed-saml-and-oauth/ADFS ハンドシェイク中の WS-Federation の詳細については、こちらをご覧ください。
以前これを開いたのはhttps://security.stackexchange.com/questions/180629/during-microsoft-ws-federation-protocol-help-describe-the-parameters-given-to-tしかし、これは実際にはセキュリティに関する質問ではなく、Microsoft の実装に関する質問であるため、ここで再度質問するように言われました。
答え1
フェデレーションのコンテキストを保存します。
コマンドレットがあります:
AdfsWebConfig -ContextCookieEnabled を設定する
これを永続化するために Cookie として保存し、文字列に追加します。
たとえば、次のようなシナリオを想像してみてください。
アプリケーション --> ADFS --> 他の IDP
他の IDP は、どのアプリケーションが呼び出しを行ったかに基づいて決定を下す必要があります。これはコンテキストに保存され、チェーンに沿って渡されます。