Поделиться через

Устранение неполадок AD FS — Fiddler — WS-Federation

  • Статья

AD FS and Windows Server Federation diagram

Шаг 1 и 2

Это начало нашей трассировки. В этом кадре мы видим следующее:

Start of Fiddler trace

Запрос:

Ответ:

  • Ответ — это HTTP 302 (перенаправление). Данные транспорта в заголовке ответа показывают, куда перенаправляться (https://sts.contoso.com/adfs/ls)
  • URL-адрес перенаправления содержит wa=wsignin 1.0, который сообщает нам, что приложение RP создало запрос на вход WS-Federation для нас и отправил это в конечную точку AD FS /adfs/ls/ls/. Это называется привязкой перенаправления.

Transport data in the Response header

Шаг 3 и 4

Continuation Fiddler trace

Запрос:

  • HTTP GET на наш сервер AD FS (sts.contoso.com)

Ответ:

  • Ответ — это запрос учетных данных. Это означает, что мы используем проверку подлинности форм
  • Щелкнув WebView ответа, вы можете просмотреть запрос учетных данных.

Screenshot of the web view of the response showing the credentials prompt.

Шаг 5 и 6

WebView tab of the prompt for credentials Prompt screen

Запрос:

  • HTTP POST с нашим именем пользователя и паролем.
  • Мы представляем свои учетные данные. Просмотр необработанных данных в запросе можно просмотреть учетные данные.

Ответ:

  • Ответ найден, а зашифрованный файл cookie MSIAuth создается и возвращается. Это используется для проверки утверждения SAML, созданного нашим клиентом. Это также называется файлом cookie проверки подлинности и будет присутствовать только в том случае, если AD FS является idp.

Шаг 7 и 8

Screenshot of the of Fiddler trace showing the H T T P Get request and the response to that request.

Запрос:

  • Теперь, когда мы выполнили проверку подлинности, мы делаем другой HTTP GET на сервер AD FS и представляем маркер проверки подлинности.

Ответ:

  • Ответ — это ПРОТОКОЛ HTTP ОК, который означает, что AD FS прошел проверку подлинности пользователя на основе предоставленных учетных данных.
  • Кроме того, мы задали клиенту 3 файла cookie
    • MSISAuthenticated содержит значение метки времени в кодировке Base64, указывающее, когда клиент прошел проверку подлинности.
    • MSISLoopDetectionCookie используется механизмом обнаружения бесконечного цикла AD FS для остановки клиентов, которые в итоге в бесконечном цикле перенаправления на сервер федерации. Данные cookie — это метка времени, закодированная в кодировке Base64.
    • MSISSignout используется для отслеживания поставщика удостоверений и всех запросов, посещаемых для сеанса единого входа. Этот файл cookie используется при вызове выхода WS-Federation. Содержимое этого файла cookie можно просмотреть с помощью декодирования Base64.

Шаг 9 и 10

Screenshot of the of Fiddler trace showing the H T T P Post request and the response to that request.

Запрос:

  • HTTP POST

Ответ:

  • Ответ является найденным

Шаг 11 и 12

Finalization of Fiddler trace

Запрос:

  • HTTP GET

Ответ:

  • Ответ ОК

Next Steps