关于ADFS Server 2016的Oauth2的几个问题

Posted 2021-04-12

我已经使用ADFS已有很长时间了，很遗憾，我被要求在ADFS上使用Oauth2进行概念验证。在术语上苦苦挣扎，我设法完成了大部分工作，但仍然有一些未解决的问题。希望有人可以阐明这些...

对于SAML / WS-Fed依赖方，可以使用Set-AdfsRelyingPartyWebContent设置自定义Web内容。对于在应用程序组中创建的Web API依赖方，这也是可能的吗？

使用客户端凭据授予流时，是否可以向通过client_id / client_secret（ADFS术语中的服务器应用程序）认证的客户端添加声明？

即使在网络api应用程序上将'IssueOAuthRefreshTokensTo'设置为'AllDevices'之后，我仍然没有收到刷新令牌。我在这里想念什么？

[例如，当发布我们的ADFS发行的令牌时， jwt.io我收到“签名验证”错误。我们该如何解决？

我们想为访问令牌设置访问者，因此应用程序可以使用访问者而不是使用appid来验证他们是否可以使用令牌。我们可以修改受众群体吗？

add-adfsclient做什么？它是否创建了一个client_id，然后可以将其链接到依赖方（使用Grant-AdfsApplicationPermission），从而为现有的依赖方启用OAuth2？

[为服务器应用程序配置广告用户主体并在客户端凭据授予流程中使用'password'作为grant_type时，我似乎找不到正确的语法，因为ADFS始终会给出错误'MSIS9622：客户端身份验证失败。请验证为客户端身份验证提供的凭据是否有效。”。我已经为用户名使用了语法'user @ fqdn'。

感谢您在这里帮助我！

答案

让我尝试解决这些问题。

在ADFS中，OIDC应用程序与WS-Fed / SAML RP完全不同。您无法混合搭配。

jwt.io出现签名错误，因为它不知道.well-known端点来获取密钥。请参阅this。

要获得额外的声明，您需要添加一个API，因为这是声明规则的唯一位置。

要获取刷新令牌，您需要的范围是“ offline_access”。

对于资源所有者密码，用户名和密码是单独的字段。请参阅here。

随时问更多问题。只需扩展您的问题即可。

同样，采样here。查看LHS上的菜单。