Por padrão, as respostas do ADFS 3 contêm o cabeçalho HTTP "X-Frame-Options: DENY". Isso evita que o ADFS seja executado em um iframe, pois apresenta uma oportunidade para ataques de clickjacking.
No entanto, neste momento a minha empresa está a implementar uma integração onde deve ser feita uma excepção a esta regra de segurança: páginas num determinado domíniodeveser capaz de incorporar ADFS em um iframe.
Parece, no entanto, que o ADFS não permite alterar isso imediatamente. Então, qual é a melhor maneira de modificar esse cabeçalho HTTP?
Por exemplo, conforme sugerido na RFC (https://www.rfc-editor.org/rfc/rfc7034#section-2.3.2.3)?
Uma página que deseja renderizar o conteúdo solicitado em um quadro fornece suas próprias informações de origem ao servidor que fornece o conteúdo a ser enquadrado por meio de um parâmetro de string de consulta.
O servidor verifica se o nome do host atende aos seus critérios, para que a página possa ser enquadrada pelo recurso de destino. Isso pode acontecer, por exemplo, por meio de uma pesquisa em uma lista branca de nomes de domínio confiáveis que têm permissão para enquadrar a página. Por exemplo, para um botão "Curtir" do Facebook, o servidor pode verificar se o nome de host fornecido corresponde aos nomes de host esperados para esse botão "Curtir".
O servidor retorna o nome do host em "X-Frame-Options: ALLOW-FROM" se os critérios adequados foram atendidos na etapa 2.
O navegador impõe o cabeçalho "X-Frame-Options: ALLOW-FROM".
Responder1
Use um servidor web como proxy reverso na frente do ADFS 3 e modifique o cabeçalho HTTP. Isto pode ser conseguido comApacheouNginx. Teste isso completamente antes de entregá-lo, pois o ADFS 3 pode não gostar de ter um proxy. Não tenho como fornecer uma prova de conceito
É mais um servidor e serviço para gerenciar, mas entendo que este é um requisito que vocêdeve se encontrar
Responder2
O cmdlet Set-AdfsResponseHeaders foi adicionado pela Microsoft: