So konfigurieren Sie einen anderen Saml2SecurityTokenHandler für die passive Föderation in ADFS 2.0 .net 3.5

tag-icon tag-icon adfs
So konfigurieren Sie einen anderen Saml2SecurityTokenHandler für die passive Föderation in ADFS 2.0 .net 3.5

Wie konfiguriere ich eine andere Saml2SecurityTokenHandler-Klasse (Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenHandler) für meine passive Föderation auf meinem ADFS 2.0-Server?

Im Moment versuche ich die folgende Konfiguration:

<configuration>
  <configSections>
<section name="microsoft.identityModel" type="Microsoft.IdentityModel.Configuration.MicrosoftIdentityModelSection, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
   ...
  </configSections>
  <microsoft.identityModel>
    <service>       
      <securityTokenHandlers>
        <remove type="Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        <remove type="Microsoft.IdentityModel.Tokens.Saml11.Saml11SecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        <add type="ClassLibrary1.Class1, ClassLibrary1" />
      </securityTokenHandlers>
    </service>
  </microsoft.identityModel>
  ...
</configuration>

Das Entfernen der <remove>-Elemente führt beim Start des ADFS 2.0 Windows-Dienstes zu einer Ausnahme (ein Element mit demselben Schlüssel wurde bereits hinzugefügt), sodass wir sicher sind, dass unsere Konfiguration erfolgreich geladen wurde. Bei Verwendung der passiven Föderation sehen wir jedoch, dass der standardmäßige MSISSaml2TokenHandler weiterhin verwendet wird:

System.IdentityModel.Tokens.SecurityTokenException: MSIS3120: SubjectConfirmationData hatte falschen Empfänger. Erwartet 'https://secure.mydomain.com/adfs/ls/' aber erhalten: 'https://secure.proxy.mydomain.com/adfs/ls/'. beiMicrosoft.IdentityServer.Service.Tokens.MSISSaml2TokenHandler.ValidateConfirmationData(Saml2SubjectConfirmationData Bestätigungsdaten)

Beim Lesen der MSDN-Dokumentation (http://msdn.microsoft.com/en-us/library/gg638730.aspx) es scheint so konfiguriert zu sein, wie es sein sollte. Das <service>-Element ohne Namen ist eine Standardkonfiguration und soll in passiven Föderationsszenarien verwendet werden.

Bitte helft mir! Dies ist die letzte Hürde nach wochenlanger Arbeit.

verwandte Informationen