计划是支持AngularJS应用程序中的OAuth2工作流程。 ADAL支持“隐含授权流程”。旧版本的ADFS(Windows 2012 R2中提供)仅支持“授权授权流程”
我们的计划是从实验室环境的设置开始。有人向我们建议Windows 2012 R2对OAuth2的支持有限;我们应该使用Windows 2016和ADFS 4.0设置环境。
因此,在我们开始涉及AD,ADFS,IIS的设置之前,AngularJS应用程序(这绝对是非平凡的)想要确认可以在Windows 2016服务器上运行ADFS。我们计划使用ADAL.JS来支持OAuth2支持 - 隐式授权工作流程?
正如OAuth 2.0 support in ADFS on Windows Server 2012 R2所述,支持的授权授权如下:
授权授予类型/ ADFS(Windows Server 2012 R2)
授权代码授权:支持
隐式授权:不支持
资源所有者密码凭据授予:不支持
客户端凭据授予:不支持
另外,正如ADFS as OAuth2 provider / Authentication server possible? 回答如下:
使用ADFS 2016(即将发布),您可以获得完整的Oauth / OIDC支持。有了这个,您可以构建Web应用程序,单页应用程序,API,需要代表支持的多层应用程序系统,机密客户端(支持Windows服务帐户充当机密客户端)。
对于您的场景,您可以关注Build a single page web application using OAuth and ADAL.JS with AD FS 2016。注意:上一个演练仅适用于AD FS Server 2016及更高版本。
我正在关注(https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/development/single-page-application-with-ad-fs),但在尝试浏览TodoList页面时遇到401错误。 userdata显示aud,iss,iat,exp,upn,unique-name和sub,但不显示我的姓氏和名字。在转达党的信任我有:
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "family_name"), query = ";displayName,mail,givenName,sn;{0}", param = c.Value);```
and in Insuance transform rules I have:
```c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"), query = ";mail,givenName,sn,tokenGroups(SID),sAMAccountName;{0}", param = c.Value);```