Active directory 键斗篷AD FS交互

我在KeyClope中创建了一个SAML身份提供程序。单一登录url如FederationMetadata.xml中所述

如果我现在使用KeyClope用户登录，我会看到一个链接，在那里我会被重定向到单点登录页面，但在那之后我会得到一个错误，因为我没有指定任何查询参数，如

wa=signin1.0

或

whr=https:\\foo\adfs\services\trust

或

wtrealm=https:\\sso.foo.bar

如果我将此参数正确地包含到signle signon url中，我可以登录，但Key斗篷无法识别发生了什么

在我看来，配置为单点登录URL的URL没有任何作用，而我在KeyClope中配置的身份提供程序是无用的

---

有谁能帮我提些建议，让我更好地理解AD FS和Key斗篷之间的相互作用以及它们是如何协同工作的？

我最近参与了一个项目，我们将Key斗篷设置为ADFS IdP的SP

只有在设置以下设置时，我们才能正确处理SAML请求：

---

IdP URL:

${IdP_URL}/adfs/ls/

NameID策略格式：

persistent

WantAuthnRequestsSigned:

true

WANTASERTIONSSigned:

true

签名算法：

RSA\u SHA256

SAMLSignatureKeyName:

证书主题

---

---

除了在keydove（作为SP）中更新NameID策略外，我们还必须在IdP端进行自定义设置，以确保NameID以格式

持久性
的形式发送回来，我怀疑keydove是否支持WS-Fed（SAML 1.0），您显然是通过添加
wa=…
来尝试的。我相信keydepot支持SAML2，它在ADFS端由同一个端点（
/ADFS/ls
）处理，但请求符合SAML2规范。现在，ADFS通过两个绑定支持SAML2，即POST绑定和重定向绑定。我猜Key斗篷遵循后期绑定，但您只是没有将ADF配置为允许此特定绑定。可以肯定的是，您必须编辑您的问题，以包含有关如何将Key斗篷配置为ADFS中的SAML2依赖方的更多详细信息。存在一个插件，但尚未准备好生产，因此请输入thx！