Asp.net ADFS 2.0 IDP启动的SSO

我正在尝试使用ADFS 2.0作为我的RP ST和SAML 2.0身份提供程序，为IdentityProvider启动的SSO设置测试配置。以下是我的设置：

身份提供者-使用ComponentSpace SAML v2.0.NET插件的SAML 2.0令牌发布网站

RP STS-与我的asp.net应用程序具有RP信任关系的ADFS 2.0实例

RP应用程序-ASP.NET web应用程序（WIF），带有对我的ADFS 2.0 STS的STS引用

因此，用户登录到身份提供商网站并进行身份验证。然后给他们一个到RP STS的链接。这个链接（据我所知）应该使用RelayState告诉RP STS用户需要转发到哪个应用程序。我知道我需要在ADF和我的IP web门户之间建立某种信任，但我不知道这可能是什么。我的问题是我找不到任何好的资源来指导如何做到这一点。我发现的大部分内容都假设ADFS也是身份提供者，并且配置为SAML2.0端点。我想做的是不可能的，还是我没有找到合适的资源

---

谢谢

您需要在指向您的身份提供者的ADF上建立索赔提供者信任。在您的身份提供程序上，将RP信任设置回ADFS

另外，ASP.NET web应用程序需要使用ADFS作为其STS

并且索赔需要设置为传递

参考：

更新：

在IP方面，这是他们的问题。在您这边，手动配置信任

参考：

这些问题与输入参数直接相关

---

您需要导出ADFS令牌签名密钥（无需导出私钥）并将其发送给他们。他们需要把证书寄给你。手动设置信任后，单击“证书”选项卡并导入他们的证书。

几个月前，我问了这个问题：

我们已经创建了一个测试站点，在这里我们使用表单身份验证技术来验证任何用户，它需要一个身份验证令牌来授权应用程序中的任何用户

因此，为了创建这个令牌，我们必须与身份提供者（IP）通信，以获得经过身份验证的用户详细信息

为了与IP服务器通信，我们使用SAML协议发送和接收请求和响应

IP已经向我们提供了发送和接收SAML数据包所需的端点详细信息和证书

我们还发送了我们的端点、证书和声明规则，以便他们可以使用他们的ADFS服务器作为依赖方来配置我们的测试站点

因此，我们能够以SAML请求的形式将我们站点上的匿名访问重定向到他们的ADFS服务器

他们还能够处理它，并向我们发送回复，包括用户名、用户名、电子邮件等所有详细信息

我们使用了第三方.dll来生成和处理SAML请求，名称为：ComponentSpace（）

---

谢谢我认为这就是ADF需要配置的方式。我只是不确定当IP不接受FederationMetaData.xml文件并且没有一个文件可以提供给ADFS时，应该如何设置信任。我知道您可以手动设置信任，但就信任的外观而言，我还不清楚。我也不确定需要交换什么证书。我否决了这个答案，因为这些链接现在似乎已经失效，而且答案中没有包含这些链接中的信息。虽然鼓励引用消息来源，但重要的是将消息来源的相关信息放在这种情况下的答案中，即消息来源死亡。你会发现这有一些关于Idp初始化的信息。有几个示例演示了Idp启动的SSO。