Azure ACS替代ADFS移动身份验证

Question

我一直在使用azure ACS来验证我的移动客户端与企业ADFS到我的a​​sp.net服务器应用程序。 我设法不仅让它在Web浏览器中运行良好，而且还运行在移动应用程序上（使用webview获取一个jwt令牌，然后将其发送到服务器进行验证并生成应用程序身份验证令牌）。

但不幸的是，Azure ACS正在停产，因此我不得不寻找替代方案。

使用这篇文章我设法直接使用ADFS auth，没有任何外部服务，这对我来说是一个巨大的优势，因为一些客户可能在他们的内部网上有互联网限制。

当尝试为本机客户端（Windows WPF，Android和iOS）实现此问题时，问题就开始了，因为我无法找到针对这些情况的解决方案。

适用于Android和iOS的ADAL 似乎需要Windows Server 2012 R2 。 这种限制是一个很大的禁忌。

我找到了第三方auth提供商Auth0，但我真的想避免外部服务。

还有Azure B2C身份验证，但它有相同的外部服务问题。

有没有办法直接在ADFS上实现Azure ACS的功能？ 我需要的是一种直接从ADFS获取jwt令牌（甚至SAML2令牌）的方法。

Answer 1

ACS使用WS-Fed，该样本用作协议。

移动设备使用OAuth，这就是您需要ADFS 3.0（有限支持）或ADFS 4.0（完全支持以及OpenID Connect）的原因。

如果您只想让ADFS返回JWT令牌而不是SAML令牌，请参阅本文 。

Set-ADFSRelyingPartyTrust -TargetIdentifier'urn：MyWebApp'-EnableJWT $ true

但是，这需要ADFS 3.0。

另一种方法是使用WCF。 这将调用WS-联储活动的配置文件，它返回一个SAML令牌为Web服务按照此文章 。

Answer 2

我为自己的需求创建了自定义解决方案。 基本上我实现了类似于ACS流程的解决方案。

应用程序在webview上加载一个特殊的登录页面，将浏览器重定向到ADFS质询页面，最后回调到我的webapp。 在那里，我通过使用通知javascript调用通知应用程序，如ACS所做的：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">


<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title>Loading...</title>
    <script type="text/javascript">
        try{
            window.external.notify('@ViewBag.Result');
        }
        catch(err){
            alert("Error ACS50021: window.external.notify is not registered.");
        }
    </script>
</head>
<body>
</body>
</html>

这样我的应用程序将无法直接处理用户凭据，我不再需要外部服务:)

与ACS不同，我可以直接控制最后一步，我可以通过重定向将令牌导出到自定义协议，帮助在iOS上实现（在ACS上我们必须将javascript注入到webview中的页面来实现这一点）。