Я создал токен-приложение ADFS с поддержкой Windows NT. Настроил IIS 7 для включения токена Windows NT при аутентификации и URL-адрес ответа как https://adfsweb.treyresearch.net/tokenapp
Я добавил это приложение в приложение adfsresource как приложение на основе токена Windows NT.
Используя этот файл web.config (http://blogs.technet.com/b/adfs_documentation/archive/2006/08/03/444865.aspx#DSDOC_BKMK_667328988_f5db_446a_9261_00b4)
Файл default.aspx.cs, как показано ниже.
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security.Principal;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
Label1.Text = HttpContext.Current.User.Identity.Name;
WindowsIdentity i = (WindowsIdentity)HttpContext.Current.User.Identity;
IdentityReferenceCollection irc = i.Groups;
foreach (IdentityReference ir in irc)
{
Label2.Text += ir.Translate(typeof(NTAccount)).Value.ToString() + "; ";
}
}
}
Это работает до тех пор, пока я вхожу в систему из домена adfsresources с пользователем treyresearch, net.
Если я использую этот URL-адрес tokenappp из домена adatum.com, я получаю сообщение об ошибке, а в журнале событий сервера adfsresource у меня есть эта ошибка:
Event code: 4011
Event message: An unhandled access exception has occurred.
Event time: 11/29/2011 7:20:26 PM
Event time (UTC): 11/30/2011 1:20:26 AM
Event ID: ac49318023ee4ba4ab7ab6e0bca78522
Event sequence: 5
Event occurrence: 2
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/1/ROOT/adfs-1-129670890061718750
Trust level: Full
Application Virtual Path: /adfs
Application Path: C:\Windows\SystemData\ADFS\sts\
Machine name: ADFSRESOURCE
Process information:
Process ID: 1892
Process name: w3wp.exe
Account name: NT AUTHORITY\NETWORK SERVICE
Request information:
Request URL: https://adfsresource.treyresearch.net:443/adfs/ls/clientlogon.aspx
Request path: /adfs/ls/clientlogon.aspx
User host address: 192.168.10.133
User:
Is authenticated: False
Authentication Type:
Thread account name: NT AUTHORITY\NETWORK SERVICE
Custom event details:
Означает ли это, что мне нужно иметь доверие Windows поверх доверия ADFS, чтобы использовать токен Windows NT для удаленных доменов? если это так, нет смысла иметь доверие ADFS, если мне также нужно иметь доверие домена Windows.
Я могу заставить свое приложение для претензий работать правильно из удаленного домена, но я добавил это новое приложение токена после того, как был завершен импорт экспорта политики доверия http://technet.microsoft.com/en-us/library/cc731103%28WS.10%29.aspx
Я также просмотрел и проверил эту информацию ниже http://technet.microsoft.com/en-us/library/cc734929%28WS.10%29.aspx