Compartir a través de

Solución de problemas de Servicios de federación de Active Directory (AD FS): Fiddler: WS-Federation

  • Artículo

AD FS and Windows Server Federation diagram

Pasos 1 y 2

Este es el principio del seguimiento. En este marco se ve lo siguiente:

Start of Fiddler trace

Solicitud:

Respuesta:

  • La respuesta es un protocolo http 302 (redireccionamiento). Los datos de transporte del encabezado de respuesta indican dónde redirigirse a (https://sts.contoso.com/adfs/ls)
  • La dirección URL de redireccionamiento contiene wa=wsignin 1.0, que implica que la aplicación de RP ha creado una solicitud de inicio de sesión WS-Federation y la ha enviado a un punto de conexión /adfs/ls/ de AD FS. Esto se conoce como enlace de redireccionamiento.

Transport data in the Response header

Pasos 3 y 4

Continuation Fiddler trace

Solicitud:

  • Http GET al servidor de AD FS (sts.contoso.com)

Respuesta:

  • La respuesta es una solicitud de credenciales. De esta forma se indica que se está usando la autenticación de formularios
  • Al hacer clic en WebView de la respuesta, se puede ver el símbolo del sistema de credenciales.

Screenshot of the web view of the response showing the credentials prompt.

Pasos 5 y 6

WebView tab of the prompt for credentials Prompt screen

Solicitud:

  • Http POST con el nombre de usuario y contraseña.
  • Se presentan las credenciales. Al examinar los datos sin procesar de la solicitud, se ven las credenciales

Respuesta:

  • La respuesta es Found y se crea al igual que se devuelve la cookie cifrada MSIAuth. Se usa para validar la aserción SAML generada por el cliente. También se conoce como «cookie de autenticación» y solo estará presente cuando AD FS sea el Idp.

Pasos 7 y 8

Screenshot of the of Fiddler trace showing the H T T P Get request and the response to that request.

Solicitud:

  • Una vez hecha la autenticación, se hace otra solicitud Get de http en el servidor de AD FS y se presenta el token de autenticación

Respuesta:

  • La respuesta es una dirección http OK, lo que indica que AD FS ha autenticado al usuario en función de las credenciales proporcionadas
  • Además, se establecen tres cookies en el cliente
    • MSISAuthenticated contiene un valor de marca de tiempo codificado en base64 para cuando se autenticó al cliente.
    • El mecanismo de detección de bucle infinito AD FS usa MSISLoopDetectionCookie para que los clientes no terminen en un bucle infinito de redireccionamiento al servidor de federación. Los datos de cookies son una marca de tiempo codificada en base64.
    • MSISSignout se usa para realizar un seguimiento del IdP y de todos los RP visitados para la sesión de inicio de sesión único. Esta cookie se usa al invocarse un cierre de sesión de WS-Federation. Se pueden ver los contenidos de esta cookie mediante un descodificador base64.

Pasos 9 y 10

Screenshot of the of Fiddler trace showing the H T T P Post request and the response to that request.

Solicitud:

  • Http POST

Respuesta:

  • La respuesta es Found

Pasos 11 y 12

Finalization of Fiddler trace

Solicitud:

  • Http GET

Respuesta:

  • La respuesta es OK

Pasos siguientes