Adfs

配置 ADFS 以允許訪問伺服器應用程序並應用身份驗證策略

  • June 30, 2020

我的目標是將身份驗證從我的 OIDC 身份提供者(使用身份伺服器 4)委託給 ADFS。在 ADFS 中,我還想配置在該場景中必須使用 MFA。

根據文件和我的解釋,我Server applicationAD FS -> Application Groups. 該定義為我提供了一個客戶端 ID 和客戶端密碼,這很好,因為我的 IDP 是一個機密客戶端。委派工作正常。現在的問題是我無法配置應用於該客戶端的身份驗證策略,即使用者在登錄時必須使用 MFA。

Web Api客戶端定義是唯一允許配置身份驗證策略的(與Native application和相對)。(在此處Server application的範例中可見)。我不明白為什麼存在可能的應用程序類型。Web api 不會從 ADFS 請求訪問或 ID 令牌。它只需要驗證令牌。但是和or之間似乎存在一些依賴關係(由於客戶端-伺服器應用程序模板)。Web API``Web API``Native application``Server application

是否有可能以及如何使用身份驗證策略配置機密客戶端?

同時,我在stackoverflow上找到了解決方案。

引用:

這似乎可以通過在同一個應用程序組中定義兩個應用程序來實現:

The server application, which has a client secret in addition to client id
The WebAPI application, for which you can define an access policy.

為了完成這項工作,您需要將依賴方標識符(伺服器應用程序的客戶端 ID)分配給 WebAPI 標識符,並確保 WebAPI 應用程序的“客戶端權限”包含伺服器應用程序。

如果訪問策略未成功評估,則依賴方(請求身份驗證的應用程序)將收到 access_denied 消息。

引用自:https://serverfault.com/questions/1021203