Ich führe die ADFS-Authentifizierung bei SharePoint Online mithilfe des WS-Federation-Protokolls von Microsoft Online durch.
Ein wirklich verwirrender Teil des Prozesses ist die "wasignin"-Operation für das WS-Federation-Protokoll, bei der es sich um einen HTTP-Formular-Post anhttps://login.microsoftonline.com/login.srf.
Es ist aufgrund der im wctxParameter codierten Parameter verwirrend.
Dies wctxist eine codierte Zeichenfolge mit Formularparametern. Und die Parameter sind intern für die Implementierung von WS-Federation, in diesem Fall Microsoft. Microsofts wctx scheint zwei Parameter zu enthalten:
estsredirect= eine Ganzzahl. Dh2
estsrequest= eine base64-codierte Zeichenfolge
Aber was machen sie? Ich kann sie nirgends finden, wo sie dokumentiert sind.
Sehenhttps://blogs.technet.microsoft.com/askpfeplat/2014/11/02/adfs-deep-dive-comparing-ws-fed-saml-and-oauth/für weitere Informationen zu WS-Federation während ADFS-Handshakes.
Dies wurde zuvor geöffnet amhttps://security.stackexchange.com/questions/180629/during-microsoft-ws-federation-protocol-help-describe-the-parameters-given-to-taber mir wurde gesagt, ich solle es hier noch einmal öffnen, da es sich nicht wirklich um eine Sicherheitsfrage, sondern eher um eine Frage der Microsoft-Implementierung handelt.
Antwort1
Es speichert den Kontext der Föderation.
Es gibt ein Cmdlet:
Legen Sie „AdfsWebConfig -ContextCookieEnabled“ fest.
Das speichert dies als Cookie, um es dauerhaft zu speichern, und fügt es der Zeichenfolge hinzu.
Stellen Sie sich beispielsweise ein Szenario vor:
Anwendung --> ADFS --> ein anderer IDP
Der andere IDP muss eine Entscheidung basierend darauf treffen, welche Anwendung den Aufruf getätigt hat. Dies wird im Kontext gespeichert. Es wird entlang der Kette weitergegeben.