Dela via

AD FS-felsökning – Fiddler – WS-Federation

AD FS- och Windows Server-federationsdiagram

Steg 1 och 2

Det här är början på vår spårning. I den här ramen ser vi följande:

Start av Fiddler-spårning

Request:

  • HTTP GET till vår betrodda part (https://sql1.contoso.com/SampApp)

Response:

  • Svaret är http 302 (omdirigering). Transportdata i svarshuvudet visar var du ska omdirigera till (https://sts.contoso.com/adfs/ls)
  • Omdirigerings-URL:en innehåller wa=wsignin 1.0 som anger att vårt RP-program har skapat en WS-Federation inloggningsbegäran för oss och skickat den till AD FS-slutpunkten /adfs/ls/. Detta kallas omdirigeringsbindning.

Transportdata i svarshuvudet

Steg 3 och 4

Fortsättning Fiddler-spårning

Request:

  • HTTP GET till vår AD FS-server (sts.contoso.com)

Response:

  • Svaret är en uppmaning om autentiseringsuppgifter. Detta indikerar att vi använder formulärautentisering
  • Genom att klicka på WebView för svaret kan du se frågan om autentiseringsuppgifter.

Skärmbild av webbvyn för svaret som visar uppmaningen om autentiseringsuppgifter.

Steg 5 och 6

WebView-fliken i prompten för inloggningsuppgifter Skärmen för fråga

Request:

  • HTTP POST med vårt användarnamn och lösenord.
  • Vi presenterar våra autentiseringsuppgifter. Genom att titta på rådata i begäran kan vi se autentiseringsuppgifterna

Response:

  • Svaret hittas och den MSIAuth-krypterade cookien skapas och returneras. Detta används för att verifiera SAML-försäkran som produceras av vår klient. Detta kallas även för "autentiseringscookie" och kommer endast att finnas när AD FS är Idp.

Steg 7 och 8

Skärmbild av Fiddler-spårningen som visar H T T P Get-förfrågan och svaret på den förfrågan.

Request:

  • Nu när vi har autentiserats gör vi en annan HTTP GET till AD FS-servern och presenterar vår autentiseringstoken

Response:

  • Svaret är ett HTTP OK, vilket innebär att AD FS har autentiserat användaren baserat på de angivna autentiseringsuppgifterna
  • Dessutom skickar vi tillbaka 3 cookies till klienten
    • MSISAuthenticated innehåller ett base64-kodat tidsstämpelvärde för när klienten autentiserades.
    • MSISLoopDetectionCookie används av mekanismen för oändlig loopidentifiering i AD FS för att stoppa klienter som har hamnat i en oändlig omdirigeringsloop till federationsservern. Cookiedata är en tidsstämpel som är base64-kodad.
    • MSISSignout används för att hålla reda på IdP och alla RP:er som besökts för SSO-sessionen. Den här cookien används när en WS-Federation utloggning sker. Du kan se innehållet i den här cookien med hjälp av en base64-avkodare.

Steg 9 och 10

Skärmbild av Fiddler-spårningen som visar HTTP POST-begäran och svaret på den begäran.

Request:

  • HTTP POST

Response:

  • Responsen är "Found"

Steg 11 och 12

Slutförande av Fiddler-spårning

Request:

  • HTTP GET

Response:

  • Svaret är OK

Nästa steg