De forma predeterminada, las respuestas de ADFS 3 contienen el encabezado HTTP "X-Frame-Options: DENY". Esto evita que ADFS se ejecute en un iframe, porque presenta una oportunidad para ataques de clickjacking.
Sin embargo, en este momento mi empresa está implementando una integración en la que se debe hacer una excepción a esta regla de seguridad: páginas en un determinado dominio.deberíapoder incrustar ADFS en un iframe.
Sin embargo, parece que ADFS no permite cambiar esto de forma inmediata. Entonces, ¿cuál es la mejor manera de modificar este encabezado HTTP?
Por ejemplo, como se sugiere en el RFC (https://www.rfc-editor.org/rfc/rfc7034#section-2.3.2.3)?
Una página que desea presentar el contenido solicitado en un marco proporciona su propia información de origen al servidor que proporciona el contenido que se enmarcará mediante un parámetro de cadena de consulta.
El servidor verifica que el nombre de host cumpla con sus criterios, de modo que el recurso de destino permita enmarcar la página. Esto puede ocurrir, por ejemplo, mediante una búsqueda en una lista blanca de nombres de dominio confiables que pueden encuadrar la página. Por ejemplo, para un botón "Me gusta" de Facebook, el servidor puede verificar que el nombre de host proporcionado coincida con los nombres de host esperados para ese botón "Me gusta".
El servidor devuelve el nombre de host en "X-Frame-Options: ALLOW-FROM" si se cumplieron los criterios adecuados en el paso 2.
El navegador aplica el encabezado "X-Frame-Options: ALLOW-FROM".
Respuesta1
Utilice un servidor web como proxy inverso frente al ADFS 3 y modifique el encabezado HTTP. Esto se puede lograr conapacheonginx. Pruebe esto exhaustivamente antes de entregarlo, ya que es posible que a ADFS 3 no le guste tener un proxy. No tengo forma de proporcionar una prueba de concepto.
Es un servidor y servicio más que administrar, pero entiendo que es un requisito que debesdebemos reunirnos
Respuesta2
Microsoft ha agregado el cmdlet Set-AdfsResponseHeaders: