Este post es parte de una serie de artículos complementarios a la VAN sobre Identity Providers.
El siguiente artículo trata de sitios web desarrollados con ASP.NET (WebForms, MVC, etc)
Pre-requisitos:
- Disponer de una instancia de ADFS donde delegar la autenticación.
- Tener instalado WIF SDK en el ambiente de desarrollo.
Pasos:
- Abrir nuestro proyecto web en Visual Studio.
- Sobre el proyecto, hacemos clic derecho y elegimos la opción: “Add STS reference” que tendremos disponible si hemos instalado WIF SDK. Esto nos abre la pantalla de Federation Utility donde debemos completar los datos de la aplicación:
- En el siguiente paso, elegimos la opción “Use an existing STS” e indicamos la url de la FederationMetadata de dicho ADFS.
- El resto de los valores los aceptamos por defecto.
![integrando-adfs-1_thumb[3]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQ-sOYFAaoOUHofQpamo4r9rluB7d6tKByGU22umTgYD0m3mdistPxJodtXIL7QdQ_FSbbSXo0lH-lojn9QrdZTtOxfwZNlLL4JvuGEUaTRp337plCxtzAiQ9VYml9IuzoZyd3AajpNAA5/s1600-h/integrando-adfs-1_thumb32.png "integrando-adfs-1_thumb[3]")
![integrando-adfs-2_thumb[1]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2q57P0hvENjsmLCEPA5zUltpo3wvO7xtc4NpSPFLnCb3u09hBElSAn7vnu5cD0DQ-JpgJyM1nwN2ZM2uGzh_uaCgvy0sRxdRIH3d43hTILPV9AtH4WgpPx-7g53PQRmZtQo4mNQt6qFcn/s1600-h/integrando-adfs-2_thumb12.png "integrando-adfs-2_thumb[1]")
Cambios realizados
Esto va a haber realizado varios cambios en nuestra aplicación, cambios que si no tenemos instalado WIF SDK los tendríamos que hacer manualmente. Ahora vamos a analizar dichos cambios.
- Agregó un archivo FederationMetadata.xml con la información necesaria para agregar el Relying Party en ADFS con un simple Import y sin necesidad de configurarlo manualmente.
- Agregó, en el web.config, varias líneas, y quizás modificó otras, principalmente:
- agregó la sección: microsoft.identityModel con toda la configuración referente WIF.
- denegó el ingreso para personas no autenticadas: <authorization><deny users="?" /></authorization>
- configuró el modo de autenticación en none: <authentication mode="None" />
- Agregó 2 HttpModules: WSFederationAuthenticationModule y SessionAuthenticationModule. Nota: si ejecutás en IIS 7 y tenés un error 500, probá de quitar los httpModules definidos en system.web.
Deploy, problemas comunes y posibles soluciones
Ahora estamos en condiciones de hacer el deploy de nuestra aplicación a un IIS, esto es necesario para manejar los certificados, puede ser un IIS local o en un servidor, en mi caso va a ser en el servidor ya que no tengo un IIS local en la máquina de desarrollo.
Si accedemos al sitio en este momento y no teníamos la misma configurada con https (SSL)probablemente tengamos el siguiente error: “ID1059: Cannot authenticate the user because the URL scheme is not https and requireSsl is set to true in the configuration, therefore the authentication cookie will not be sent. Change the URL scheme to https or set requireSsl to false on the cookieHandler element in configuration.”. Para esto, lo mejor va a ser utilizar https y así también subir el nivel de seguridad de nuestra aplicación por lo que, en nuestro ambiente de desarrollo, creamos un certificado firmado por nosotros mismos y configuramos el Binding del IIS en https con el certificado que acabamos de crear.
Si ahora accedemos al sitio, probablemente nos pida autenticarnos y luego nos de un error, esto se debe a que aun no configuramos la aplicación en ADFS. Esto lo podemos confirmar abriendo el EventViewer del servidor donde está instalado ADFS y, en la rama de ADFS/Admin vamos a encontrar un error que dice algo de: “MSIS7007: The requested relying party trust 'https://aplicacionweb.neluz.int/' is unspecified or unsupported”. Para agregar la aplicación a ADFS abrimos la consola de administración de ADFS y en “Trust Relationships” / “Relying Party Trust” vamos a “Add Relying Party Trust…” y seleccionamos la FederationMetadata.xml que habíamos creado con “Federation Utility”
![integrando-adfs-4_thumb[2]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwbmq0pzdxz6gG3mojP88ZIkgcwSHpdkTobo7HbH3kujQLoO0ZasfnFF-rpthGqbwZR3fKUtrecYk6KNW9lsqt0_edFjFaPaYA_ZRcHKTygzpc4FliSNWtnXRUXL2rbayWvRT46XFKHfWE/s1600-h/integrando-adfs-4_thumb22.png "integrando-adfs-4_thumb[2]")
Luego de completar el wizard vamos a “Edit Claims Rules” donde creamos, al menos una regla como la siguiente:
![integrando-adfs-5_thumb[2]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjw02G5pdG8VqZHmsSVz21X3JjM9eHtOKNOyZoXO5ejTIW-ZNIMPs1rrc1I308o8Y4PCM2RUW5GNuZd2auHYnwYw0t2SFVzClAVzy8-hY9CAMmaJzPk8hyOmjTba41tCaQTjONiaihI_ZRu/s1600-h/integrando-adfs-5_thumb22.png "integrando-adfs-5_thumb[2]")
![integrando-adfs-6_thumb[2]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXSmSUMiUvxYFl9ebjclb11T3rDYSu7N1kyRSG3ndbcX35NGD-9HsOYGGRX1Fho_J2ZpcGVbWJAZlllDdShlZRGa888BPsOIn6zAKomRMZm2AjY2fd9j0rZ_TKQF9gIZZJpVsquC2aHoiS/s1600-h/integrando-adfs-6_thumb22.png "integrando-adfs-6_thumb[2]")
Guardamos y volvemos a ingresar a nuestro sitio.
Ahora podemos obtener un mensaje como: “A potentially dangerous Request.Form value was detected from the client (wresult="<t:RequestSecurityTo...").”. Si esto ocurre debemos agregar en nuestro web.config el siguiente tag “<httpRuntime requestValidationMode="2.0"/>” dentro de “<system.web>”.
Ahora si nuestra aplicación debería autenticar con ADFS.
En mi caso, la aplicación es muy simple y, en Default.aspx tiene una línea que dice:
<%= HttpContext.Current.Request.IsAuthenticated ? HttpContext.Current.User.Identity.Name : "El usuario no está autenticado" %>
por lo que al ingresar al sitio primero me pide que me autentique y luego se ve como la siguiente imagen:
![integrando-adfs-7_thumb[1]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWTBJFM1Z8bCGvuFA3RvBIu7JHBulvQ5-7zv7SvisT1JO7ha4I6MGdAHIIhTmH87lJP5aofR4CwGZ2LK_tv6nO3Y6YGBa57y0I8X6tpc5Bz9K_h9vMY1ZM326OsfbQUJugKhQvyy6ShG-T/s1600-h/integrando-adfs-7_thumb12.png "integrando-adfs-7_thumb[1]")
Gran tutorial Nelo, muchas gracias!!!
ResponderBorrardisculpen, utilizo Visual Studio 2015 y necesito modificar una aplicacion para inicio de sesion ADFS, intenté descargar el WIF SDK e instalarlo pero no he tenido exito, espero me puedan ayudar. Saludos.
ResponderBorrar