Устранение неполадок AD FS — Fiddler — WS-Federation
Шаг 1 и 2
Это начало нашей трассировки. В этом кадре мы видим следующее:
Запрос:
- HTTP GET для нашей проверяющей стороны (https://sql1.contoso.com/SampApp)
Ответ:
- Ответ — это HTTP 302 (перенаправление). Данные транспорта в заголовке ответа показывают, куда перенаправляться (https://sts.contoso.com/adfs/ls)
- URL-адрес перенаправления содержит wa=wsignin 1.0, который сообщает нам, что приложение RP создало запрос на вход WS-Federation для нас и отправил это в конечную точку AD FS /adfs/ls/ls/. Это называется привязкой перенаправления.
Шаг 3 и 4
Запрос:
- HTTP GET на наш сервер AD FS (sts.contoso.com)
Ответ:
- Ответ — это запрос учетных данных. Это означает, что мы используем проверку подлинности форм
- Щелкнув WebView ответа, вы можете просмотреть запрос учетных данных.
Шаг 5 и 6
Запрос:
- HTTP POST с нашим именем пользователя и паролем.
- Мы представляем свои учетные данные. Просмотр необработанных данных в запросе можно просмотреть учетные данные.
Ответ:
- Ответ найден, а зашифрованный файл cookie MSIAuth создается и возвращается. Это используется для проверки утверждения SAML, созданного нашим клиентом. Это также называется файлом cookie проверки подлинности и будет присутствовать только в том случае, если AD FS является idp.
Шаг 7 и 8
Запрос:
- Теперь, когда мы выполнили проверку подлинности, мы делаем другой HTTP GET на сервер AD FS и представляем маркер проверки подлинности.
Ответ:
- Ответ — это ПРОТОКОЛ HTTP ОК, который означает, что AD FS прошел проверку подлинности пользователя на основе предоставленных учетных данных.
- Кроме того, мы задали клиенту 3 файла cookie
- MSISAuthenticated содержит значение метки времени в кодировке Base64, указывающее, когда клиент прошел проверку подлинности.
- MSISLoopDetectionCookie используется механизмом обнаружения бесконечного цикла AD FS для остановки клиентов, которые в итоге в бесконечном цикле перенаправления на сервер федерации. Данные cookie — это метка времени, закодированная в кодировке Base64.
- MSISSignout используется для отслеживания поставщика удостоверений и всех запросов, посещаемых для сеанса единого входа. Этот файл cookie используется при вызове выхода WS-Federation. Содержимое этого файла cookie можно просмотреть с помощью декодирования Base64.
Шаг 9 и 10
Запрос:
- HTTP POST
Ответ:
- Ответ является найденным
Шаг 11 и 12
Запрос:
- HTTP GET
Ответ:
- Ответ ОК