在 micosoft 線上 ws-federation 協議中,ests
參數是什麼,它們有什麼作用?
我正在使用 Microsoft Online 的 WS-Federation 協議對 SharePoint Online 進行 ADFS 身份驗證。
該過程中一個真正令人困惑的部分是 WS-Federation 協議的“wasignin”操作,它是一個 HTTP 表單發佈到https://login.microsoftonline.com/login.srf。
由於參數中編碼的
wctx
參數,它令人困惑。這
wctx
是表單參數的編碼字元串。在本例中,參數是 WS-Federation 實現的內部參數。微軟的 wctx 似乎包含兩個參數:
estsredirect
= 某個整數。IE2
estsrequest
= 一些 base64 編碼的字元串但他們是做什麼的?在我能找到的任何地方都沒有記錄它們。
有關ADFS 握手期間 WS-Federation 的更多資訊,請參閱https://blogs.technet.microsoft.com/askpfeplat/2014/11/02/adfs-deep-dive-comparing-ws-fed-saml-and-oauth/ 。
以前在https://security.stackexchange.com/questions/180629/during-microsoft-ws-federation-protocol-help-describe-the-parameters-given-to-t上打開它,但被告知在這裡重新打開它因為它不是真正的安全問題,更多的是 Microsoft 實施問題。
它儲存聯邦的上下文。
有一個cmdlet:
設置 AdfsWebConfig -ContextCookieEnabled
將其儲存為 cookie 以將其持久化並將其添加到字元串中。
例如想像一個場景:
應用程序 –> ADFS –> 其他一些 IDP
另一個 IDP 需要根據發出呼叫的應用程序做出決定。這是儲存在上下文中的內容。它沿著鏈條傳遞。