Tenemos ADFS y queremos agregar una aplicación de terceros que le sea confiable. Tengo un URI de certificado y metadatos (xml) para darles, pero quiero tener una lista de verificación de lo que necesitan darme. Hasta ahora
¿Se requiere algo más?
Supongo que suponemos que la parte de confianza es una parte de confianza basada en SAML2. De lo contrario, deberías estar preguntando qué protocolos soportan. (por ejemplo, WS-Federation / WS-Trust, SAML2, OAuth2, OpenID Connect). No todos estos protocolos son compatibles con todas las versiones de AD FS. Todos estos son compatibles con Windows Server 2016 basado en AD FS.
¿Cuál es el formato de token que esperan? (SAML 1.1, SAML 2.0, JWT)
La URI utilizada por ellos para identificarse de forma única en su AD FS.
Debe obtener detalles de los puntos finales en los que se deben publicar los tokens al iniciar sesión y al tipo. (por ejemplo, es un enlace POST vs enlace de redirección). Y el punto final de cierre de sesión también.
Qué reclamaciones esperan y qué formato de valores. Depende de usted decidir si los extrae de AD, SQL, AD LDS o algún almacén de atributos personalizados.
¿Esperan que los tokens estén encriptados? en caso afirmativo, deben proporcionar la parte pública de un certificado que usaría para cifrar tokens para que solo la persona que confía las vea.
¿Qué algoritmos de firma admiten (SHA1 vs SHA256)
¿Quieren un identificador de nombre? Si es así, ¿de qué tipo (transitorio / persistente, etc.)?
Estas son algunas de las preguntas que le harían para asegurarse de que puede configurar correctamente la confianza de un usuario de confianza. Si tienen metadatos, configurar la confianza se vuelve mucho más fácil y pueden especificar en los metadatos las respuestas a estas preguntas.
Lea otras preguntas en las etiquetas federation active-directory trusted-computing saml adfs