使用 Windows 服务上托管的 WCF 对 ADFS 进行身份验证

Question

我有一个 wcf 服务，它可以在 ADFS 中查询 SAML 令牌。这是从网络查询 ADFS 并取回 SAML 令牌的常见 sn-p。 然而，它总是在 return channel.Issue(rst); 行结束。 .错误为 ID3082：请求范围无效或不受支持。 至少在高层次上，我无法确定错误是在 ADFS 服务器端还是与 WCF 服务的配置方式或代码有关。请帮忙。

public SecurityToken GetSamlToken()
{
    using (var factory = new WSTrustChannelFactory(
        new UserNameWSTrustBinding(SecurityMode.TransportWithMessageCredential),
        new EndpointAddress(new Uri("https://serv/adfs/services/trust/13/usernamemixed"))))
    {
        factory.Credentials.UserName.UserName = "username";
        factory.Credentials.UserName.Password = "password";
        factory.Credentials.ServiceCertificate.Authentication.CertificateValidationMode = X509CertificateValidationMode.None;
        factory.TrustVersion = TrustVersion.WSTrust13;                
        WSTrustChannel channel = null;                
        try
        {
            string KeyType;
            var rst = new RequestSecurityToken
            {
                RequestType = WSTrust13Constants.RequestTypes.Issue,
                AppliesTo = new EndpointAddress("net.tcp://localhost:xxxx/Service1/mex"),                         
                KeyType = Microsoft.IdentityModel.Protocols.WSTrust.WSTrust13Constants.KeyTypes.Bearer,                                        
            };

            channel = (WSTrustChannel)factory.CreateChannel();

            return channel.Issue(rst);
        }
        finally
        {
            if (channel != null)
            {
                channel.Abort();
            }
            factory.Abort();
        }
    }
}

Answer 1

问题出在

AppliesTo = new EndpointAddress("net.tcp://localhost:xxxx/Service1/mex")

我将其替换为依赖方 uri，它会向我发放令牌。这里唯一的问题是令人困惑的错误消息。

Answer 2

该错误可能与 ADFS 端点的配置有关。以下文章似乎很好地概述了 ADFS Web 服务通信以及解决一些问题的步骤：

http://msinnovations.wordpress.com/2011/03/28/some-tips-on-active-federation-with-adfs-2-0/

为了获得有关错误发生的位置（可能还有原因）的更多信息，您可能希望/需要配置 WCF 跟踪/日志记录。以下链接提供了概述：

http://msdn.microsoft.com/en-us/library/ms733025.aspx

问候，