Estoy tratando de configurar la federación activa para ADFSProxy 2.0. La federación pasiva funciona bien (y, por lo tanto, espero que haya configurado el proxy de ADFS correctamente), pero cuando uso la federación activa, obtengo la siguiente excepción: "La solicitud HTTP estaba prohibida con el esquema de autenticación del cliente" Anónimo "".
Estoy usando el siguiente código:
var factory = new WSTrustChannelFactory(new UserNameWSTrustBinding(
SecurityMode.TransportWithMessageCredential,
HttpClientCredentialType.Digest),
"https://adfs-proxy/adfs/services/trust/13/usernamemixed");
factory.Credentials.UserName.UserName = username;
factory.Credentials.UserName.Password = password;
factory.Credentials.HttpDigest.AllowedImpersonationLevel =
TokenImpersonationLevel.Impersonation;
factory.TrustVersion = TrustVersion.WSTrust13;
var rst = new RequestSecurityToken {
RequestType = RequestTypes.Issue,
AppliesTo = new EndpointAddress(relyingPartyIdentifier),
KeyType = KeyTypes.Bearer
};
var channel = factory.CreateChannel();
return channel.Issue(rst);
Fiddler muestra la siguiente respuesta (también obtengo el mismo error sin Fiddler):
HTTP/1.1 403 Forbidden
Transfer-Encoding: chunked
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 01 Jun 2015 13:06:16 GMT
0
Hay el siguiente mensaje en el registro de seguimiento de ADFS:
WSTrustProxyListener.ProcessRequest: solicitud de front-end rechazada a recurso https://adfs-proxy:443/adfs/services/trust/13/usernamemixed/.
Si cambio la URL para que apunte al servidor ADFS original, no al proxy, el código anterior funciona bien (enviar la misma solicitud a ADFS).
/ adfs / services / trust / 13 / usernamemixed endpoint está permitido en el servidor ADFS para el proxy.
También descubrí que cuando accedo al siguiente enlace que apunta al servidor proxy ADFS:
https://adfs-proxy/federationmetadata/2007-06/federationmetadata.xml
También obtengo 403 de respuesta prohibida. Veo el mismo mensaje en el registro de seguimiento de ADFS:
WSTrustProxyListener.ProcessRequest: solicitud de front-end rechazada a recurso https://adfs-proxy:443/FEDERATIONMETADATA/2007-06/FEDERATIONMETADATA.XML.
Wireshark me muestra que no hay una solicitud de red desde el proxy de ADFS al servidor principal de ADFS.
Si especifico servidor ADFS original (no proxy) paraeste enlace, todo está bien, se devuelve el xml correcto. En realidad, para el proxy de ADFS obtengo 403 Prohibido para cualquier solicitud a los siguientes oyentes (si los golpeo en IE) independientemente de si están permitidos para el proxy de ADFS o no:
https://+:443/FederationMetadata/2007-06/
http://+:80/adfs/services/trust/
https://+:443/adfs/services/trust/
Intenté ejecutar el servicio de proxy de ADFS en varias cuentas, incluido el servicio de red y el administrador local.
¿Cómo puedo deshacerme de este error y configurar Active Federation for ADFS Proxy?
Respuestas
0 para la respuesta № 1Por lo que vale la pena, he estado tratando este tema desde anoche.
En particular, este error: WSTrustProxyListener.ProcessRequest: Rejected front-end request to resource https://adfs-proxy:443/FEDERATIONMETADATA/2007-06/FEDERATIONMETADATA.XML.
Recibiría un 403 al intentar extraer la federationmetadata.xml del servidor proxy de la federación.
También recibí este mensaje de error:
The federation server proxy was not able to retrieve the list of endpoints from the Federation Service at [adfs_server_name]. The error message is "Error reading the C:Program FilesActive Directory Federation Services 2.0PT directory.".
He modificado la configuración de seguridad para este c:Programó la carpeta 2.0PT de DirectoryFindation Services Services y le dio acceso completo al usuario que tiene permisos de "Inicio de sesión" para el servicio "ADFS 2.0 Windows Service" en el proxy de federación.
En este punto, pude extraer los metadatos de la federación con éxito a través de https://sso.proxy.fdqn.com/federationmetadata/2007-06/federationmetadata.xml