Delen via

Ad FS-probleemoplossing - Fiddler - WS-Federation

diagram van AD FS en Windows Server Federation

Stap 1 en 2

Dit is het begin van onze tracering. In dit frame zien we het volgende:

Begin van Fiddler-tracering

Aanvraag:

Respons:

  • Het antwoord is een HTTP 302 (redirect). In de transportgegevens in de header Antwoord ziet u waar u naar kunt omleiden (https://sts.contoso.com/adfs/ls)
  • De omleidings-URL bevat wa=wsignin 1.0, waarmee wordt aangegeven dat onze RP-toepassing een WS-Federation aanmeldingsaanvraag voor ons heeft gemaakt en dit heeft verzonden naar het /adfs/ls/-eindpunt van AD FS. Dit wordt omleidingsbinding genoemd.

Transportgegevens in de antwoordheader

Stap 3 en 4

Vervolg Fiddler-tracering

Aanvraag:

  • HTTP GET naar onze AD FS-server (sts.contoso.com)

Respons:

  • Het antwoord is een melding voor inloggegevens. Dit geeft aan dat we formulierverificatie gebruiken
  • Door op de webweergave van het antwoord te klikken, ziet u de prompt voor referenties.

Schermopname van de webweergave van het antwoord met de prompt voor referenties.

Stap 5 en 6

WebView-tabblad van de prompt voor inloggegevens

Aanvraag:

  • HTTP POST met onze gebruikersnaam en wachtwoord.
  • We presenteren onze referenties. Door de ruwe data in de aanvraag te bekijken, kunnen we de inloggegevens zien.

Respons:

  • Het antwoord wordt gevonden en de versleutelde MSIAuth-cookie wordt gemaakt en geretourneerd. Dit wordt gebruikt om de SAML-assertie te valideren die door onze client wordt geproduceerd. Dit wordt ook wel de 'verificatiecooky' genoemd en zal alleen aanwezig zijn wanneer AD FS de Idp is.

Stap 7 en 8

Schermopname van de Fiddler-trace met de H T T P Get-aanvraag en het antwoord op die aanvraag.

Aanvraag:

  • Nu we zijn geverifieerd, doen we nog een HTTP GET naar de AD FS-server en presenteren we ons verificatietoken

Respons:

  • Het antwoord is een HTTP OK, wat betekent dat AD FS de gebruiker heeft geverifieerd op basis van de opgegeven referenties
  • Daarnaast plaatsen we drie cookies bij de cliënt.
    • MSISAuthenticated bevat een met base64 gecodeerde tijdstempelwaarde voor wanneer de client is geverifieerd.
    • MSISLoopDetectionCookie wordt gebruikt door het ad FS oneindige lusdetectiemechanisme om clients te stoppen die in een oneindige omleidingslus naar de federatieserver zijn terechtgekomen. De cookiegegevens zijn een tijdstempel die base64 is gecodeerd.
    • MSISSignout wordt gebruikt voor het bijhouden van de IdP en alle RPs die worden bezocht voor de SSO-sessie. Deze cookie wordt gebruikt wanneer een afmelding met WS-Federation wordt aangeroepen. U kunt de inhoud van deze cookie zien met behulp van een base64-decoder.

Stap 9 en 10

Schermopname van de Fiddler-trace met het HTTP Post-verzoek en het antwoord op dat verzoek.

Aanvraag:

  • HTTP POST

Respons:

  • Het antwoord is gevonden

Stap 11 en 12

Voltooien van Fiddler-tracering

Aanvraag:

  • HTTP GET

Respons:

  • Het antwoord is OK

Volgende stappen