Microsoft-Office-365

在 micosoft 線上 ws-federation 協議中,ests 參數是什麼,它們有什麼作用?

  • February 27, 2018

我正在使用 Microsoft Online 的 WS-Federation 協議對 SharePoint Online 進行 ADFS 身份驗證。

該過程中一個真正令人困惑的部分是 WS-Federation 協議的“wasignin”操作,它是一個 HTTP 表單發佈到https://login.microsoftonline.com/login.srf

由於參數中編碼的wctx參數,它令人困惑。

wctx是表單參數的編碼字元串。在本例中,參數是 WS-Federation 實現的內部參數。微軟的 wctx 似乎包含兩個參數:

estsredirect= 某個整數。IE2

estsrequest= 一些 base64 編碼的字元串

但他們是做什麼的?在我能找到的任何地方都沒有記錄它們。

有關ADFS 握手期間 WS-Federation 的更多資訊,請參閱https://blogs.technet.microsoft.com/askpfeplat/2014/11/02/adfs-deep-dive-comparing-ws-fed-saml-and-oauth/ 。

更多資訊:https ://msdn.microsoft.com/en-us/library/system.identitymodel.services.wsfederationauthenticationmodule.createsigninrequest(v=vs.110).aspx

以前在https://security.stackexchange.com/questions/180629/during-microsoft-ws-federation-protocol-help-describe-the-parameters-given-to-t上打開它,但被告知在這裡重新打開它因為它不是真正的安全問題,更多的是 Microsoft 實施問題。

它儲存聯邦的上下文。

有一個cmdlet:

設置 AdfsWebConfig -ContextCookieEnabled

將其儲存為 cookie 以將其持久化並將其添加到字元串中。

例如想像一個場景:

應用程序 –> ADFS –> 其他一些 IDP

另一個 IDP 需要根據發出呼叫的應用程序做出決定。這是儲存在上下文中的內容。它沿著鏈條傳遞。

引用自:https://serverfault.com/questions/899136