成果一直在学习wsfed

1、Wsfed 应用开档21.申请. 22.搭建 AD 服务器23.在 office365 中添加域24.安装 Azure AD connect25.在 iam 或者 vidm 中同步 AD 数据36.配置 sts 服务器36.1 Sts 服务器配置36.2 sts 服务器接口46.3 搭建 sts 服务器47.配置 Iam 服务器57.1 在 IAM 中配置 sts 服务器57.2 IAM 服务器提供的协议相关接口67.3 IAM 服务器提供 sts 服务器的接口78.测试用户登录7Wsfed 应用开档1. 申请可以在第上也可以在 office 365 管理。直接。第管理如腾讯云，DNSpod

2、管理2. 搭建 AD 服务器在 windowsServer 的机器上可以直接使用，但是注意在配置域是需要配置成在步骤 1 中申请的。3. 在 office365 中添加域在 office365 的管理中添加搭建的 AD 域。登录管理员-安装-域，点击添加域的按钮开始配置。配置域的流程比较麻烦，需要对添加的域进行验证，验证通过才能使用。再添加时页面上有分步说明，按照说明流程配置即可。4. 安装 Azure AD connect安装 Azure AD connect，我将 Azure AD connect 安装在了 AD 服务器上，据说可以安装到非 AD 服务器上，但是我没有尝试过。在配置过程中需

3、要输入 office 365 的账户。可以参照文档设置，具体请参照如下文档。https:/dect-select-installation/azure/active-directory/connect/active-directory-aadconn在这设置时需要配置的需要和 AD 的一致，我设置的是在咱们公司申请的基础上配置的。这个需要保存下来，是 tdersoft，在后续的单间sts 服务器中也可以使用这个。5. 在 iam 或者 vidm 中同步 AD 数据在调研时先配置 VIDM，研究了 wsfed 协议的流程。5.1 VIDM 中配置(1)在 vidm 中添加 Connector，创

4、建时系统会生成一个 Activation Code，该 code 在安装 vidm的 connect 时会需要。(2) 添加 VIDM connector管理-identity & Acs Magagement-SetUp-Add Connector安装 vidm connect，VMware_Identity_Manager_Connector_Installer_for_Windows.exe。按照流程配置。(3) 添加 Vidm Directory管理-identity & Acs Magagement-Manage-Add Directory6. 配置 sts 服务器6.1 Sts 服

5、务器配置Sts 服务使用的 Window 提供的的.net 实现的。sts 服务器需要windows_identity_Foundation 插件实现的，所以使用地址或者设置为只允许对应的 IAM 服务器。在搭建 sts 服务器的时候需要配置先关的地址信息。打开配置文件appSettings 节点，设置其中的如下三个节点：Web.config，找到其中 IamShareIAM 服务器地址，IamC字段是 IAM 服务器对应的 share 服务器地址，IamWeb是ath 是文件所在的地址。注意这个需要和在IAM 上配置office 365 应用流程.docx文档中 2.3 章节中配置的保持一致

6、。6.2 sts 服务器接口Sts 服务器提供了生成 Wsfed 协议的 AcsToken，开发的接口是：?其中mySTS的 ip 可以是sts 服务器的地址.该地址为了安全期间需要设置成只有对应的IAM.该接口需要的参数是:用户 id,应用 Id,和 wtrealm 参数.在认证时,需要用户的信息和应用的信息,该接口直接iam 的接口,获取所需的信息.6.3 搭建 sts 服务器Sts 服务器需要在 windowsServer 的服务器上搭建,搭建需要使用 IIS 来搭建.目前已经在40 服务器上搭建了 sts 服务。搭建步骤如下：(1) 在服务器上安装 IIS，windowServer 2

7、012 默认安装了 IIS，如果服务器中没有安装的话，需要在服务器管理器中添加 IIS 的角色。(2) 提前使用vs2012 打包sts 服务。（在开发过程中我使用的是 vs2012, .NET 的版本需要是.NETframework 4.5）并将打包出来的内容，到一个固定的地方。(3) 在 iis 管理器中添加 web 服务，设置物理路径为(2)重打包的路径。我在配置时遇到的坑有： 如果在添加时，同时配置了和 IP 地址，则两个都不用。如果配置了，则需要保证这个可以到，这样随便配置的，在本地DNShost 中添加了方式的话，在本地可以使用，但是其他设备不能。所以在配置时，只需配置 ip 地址

8、即可。在 40 的服务器上我配置的地址是：40:8889 需要设置打包出来文件的权限，右击添加的名-编辑-添加（添加 IIS_IUSRS）。，选择编辑权限-安全-组或者用户(4) 需要按照 6.1 章节中设置将防止在对应的目录中。7. 配置 Iam 服务器IAM 服务器中给 wsfed 协议的应用提供了 3 个接口，分别为主动启动接口(对应于sp 发起的启动流程)，启动接口（idp 发起的启动流程）和退出接口。此外,IAM 还需要给sts 服务提供地址,以便于sts 获取wsfed 协议应用相关的信息和用户相关的信息.7.1 在 IAM 中配置 sts 服务器在 iam 的配置文件sts.ss

9、o.url 字段为:perties 中设置sts 的服务接口地址,这是该文件中的?其中其中 mySTS是 sts 服务器的地址.7.2 IAM 服务器提供的协议相关接口(1)sp 发起的启动接口其中 myIamIAM 的地址.该接口是 wsfed 应用启动认证时调用的接口,传递的参数有:Wa=signin1.0: Thisls the ADFS server to invoke a login for the user.Wtrealm: Thisls ADFS what application I was trying to get to. This has to match the iden

10、tifierof one of the relying party trusts listed in ADFS.Wctx: This is some sesauthenticates.datat the application wants sent back to it after the userwct: This is the exact time I tried to gain acs to the application.其中 Wtrealm 字段和数据库中 app_wsfed_config 中的 audience 字段对应,根据该字段可以得知是那个应用启动 wsfed 认证流程.该接

11、口没有使用 AuthFilter器,但是这个接口也需要 ses.在调用时如果系统没有登陆,则该接口会携带参数跳转到IAM 的登陆接口,登陆成功之后携带参数返回到该接口,然后该接口携带参数调用 sts 服务接口,sts 接口生成验证 Token,跳转回到 wsfed 应用.如果 iam 系统已登陆,则直接跳转到 sts 接口.(2)Idp 发起的启动接口该接口是在自助服务中启动wsfed 应用的接口,需要的参数是应用Id.然后直接调用sts 服务的认证接口.(3)退出接口退出接口是提供给第的 wsfed 应用调用,用来退出 IAM 登陆的.已达到单点登出的效果.7.3 IAM 服务器提供 sts

12、 服务器的接口IAM 系统给 sts 提供了三个接口,用来获取登陆用户的信息和应用配置信息;(1)获取用户信息所需参数是:用户 userId,不需要登陆 ses(2)获取 wsfed 应用配置信息所需参数是:应用 ap,不需要登陆 ses(3)获取 wsfed 应用属性的配置所需参数是:应用 ap,不需要登陆 ses8. 测试用户登录测试流程请按照说明文档IAM 上配置 office 365 应用流程.docx操作。注意在配置时需要erS。使用erS连接 office365 时，需要安装 MSonLine 插件。WindowsServer 2012按照该插件时，和其他系统不一样，需要使用如下令安装。PS Save-Module -Name Azu