0

だから私は、Web サイトから WCF サービスを消費し、サイトが STS から取得した IClaimsIdentity をサービスに渡そうとしています。

ActAs チャネルを介してサービス メソッドを呼び出そうとすると、クライアントで次のエラーが発生します (トレース ログを確認すると、サービスに到達せず、STS はすべてのトークンを正しく送信します)。

送信メッセージの ID チェックに失敗しました。期待される ID は 'identity(http://schemas.xmlsoap.org/ws/2005/05/identity/right/possessproperty: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/thumbprint ) です。 )' 'http://localhost/MyWCFHost/MyService.svc' ターゲット エンドポイントの場合。

カスタムの IssuedTokenForCertificate バインディングがあり、すべての証明書は私が見る限り問題ありません。動作するはずですが、ダイスはありません。私の設定を見て、助けてくれる別の目で感謝します:

Web サイト構成の使用:

  <system.serviceModel>
    <bindings>
      <customBinding>
        <binding name="CustomBinding_IMyService">
          <security defaultAlgorithmSuite="Default" authenticationMode="IssuedTokenForCertificate"
            requireDerivedKeys="true" includeTimestamp="true" messageSecurityVersion="WSSecurity11WSTrust13WSSecureConversation13WSSecurityPolicy12BasicSecurityProfile10"
            requireSignatureConfirmation="true">
            <issuedTokenParameters tokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1">
              <additionalRequestParameters>
                <trust:SecondaryParameters xmlns:trust="http://docs.oasis-open.org/ws-sx/ws-trust/200512">
                  <trust:TokenType xmlns:trust="http://docs.oasis-open.org/ws-sx/ws-trust/200512">http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1</trust:TokenType>
                  <trust:KeyType xmlns:trust="http://docs.oasis-open.org/ws-sx/ws-trust/200512">http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey</trust:KeyType>
                </trust:SecondaryParameters>
              </additionalRequestParameters>
              <issuer address="http://localhost/MyCompany.SecurityTokenService/ActAsIssuer.svc"
                binding="ws2007HttpBinding" bindingConfiguration="http://localhost/MyCompany.SecurityTokenService/ActAsIssuer.svc">
              </issuer>
              <issuerMetadata address="http://localhost/MyCompany.SecurityTokenService/ActAsIssuer.svc/mex" />
            </issuedTokenParameters>
            <localClientSettings detectReplays="true" />
            <localServiceSettings detectReplays="true" />
          </security>
          <textMessageEncoding />
          <httpTransport />
        </binding>
      </customBinding>
      <ws2007HttpBinding>
        <binding name="http://localhost/MyCompany.SecurityTokenService/ActAsIssuer.svc">
          <security>
            <message establishSecurityContext="false" />
          </security>
        </binding>
      </ws2007HttpBinding>
    </bindings>
    <client>
      <endpoint address="http://localhost/MyWCFHost/MyService.svc" binding="customBinding"
        bindingConfiguration="CustomBinding_IMyService" contract="MyService.IMyService"
        name="CustomBinding_IMyService">
        <identity>
          <!--<certificate encodedValue="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" />-->
          <certificateReference findValue="57620B95FCE5F4D2071221AFD6B5024A2B6AF08D" storeLocation="LocalMachine" storeName="My" x509FindType="FindByThumbprint" />
        </identity>
      </endpoint>
    </client>
  </system.serviceModel>

WCF サービス構成:

  <system.serviceModel>
    <diagnostics>
      <messageLogging logMalformedMessages="true" logMessagesAtTransportLevel="true" />
    </diagnostics>
    <services>
      <service name="RPWCFApp.MyService" behaviorConfiguration="MyServiceBehaviour">
        <endpoint address="" binding="customBinding" bindingConfiguration="CustomBindingConfiguration_IssuedTokenOverTransport" contract="RPWCFApp.IMyService" />
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
      </service>
    </services>
    <behaviors>
      <serviceBehaviors>
        <behavior name="MyServiceBehaviour">
          <federatedServiceHostConfiguration />
          <serviceMetadata httpGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="false" />
          <serviceCredentials>
            <serviceCertificate findValue="81A5DB3796F48B00FAC37CE67D7D8CA43078B996" storeLocation="LocalMachine" storeName="My" x509FindType="FindByThumbprint" />
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <serviceHostingEnvironment multipleSiteBindingsEnabled="true" />
    <extensions>
      <behaviorExtensions>
        <add name="federatedServiceHostConfiguration" type="Microsoft.IdentityModel.Configuration.ConfigureServiceHostBehaviorExtensionElement, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
      </behaviorExtensions>
    </extensions>

    <bindings>
      <customBinding>
        <binding name="CustomBindingConfiguration_IssuedTokenOverTransport">
          <security authenticationMode="IssuedTokenForCertificate" messageSecurityVersion="WSSecurity11WSTrust13WSSecureConversation13WSSecurityPolicy12BasicSecurityProfile10">
            <issuedTokenParameters keyType="SymmetricKey" tokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1">
              <issuer address="http://localhost/MyCompany.SecurityTokenService/ActAsIssuer.svc" binding="ws2007HttpBinding" bindingConfiguration="IssuedTokenBinding" />
              <issuerMetadata address="http://localhost/MyCompany.SecurityTokenService/ActAsIssuer.svc/mex" />
            </issuedTokenParameters>
          </security>
          <textMessageEncoding />
          <httpTransport />
        </binding>
      </customBinding>
      <ws2007HttpBinding>
        <binding name="IssuedTokenBinding">
          <security mode="TransportWithMessageCredential">
            <message clientCredentialType="Windows" establishSecurityContext="false" />
          </security>
        </binding>
      </ws2007HttpBinding>
    </bindings>
  </system.serviceModel>
4

1 に答える 1

0

サービス構成のバインディングを CustomBinding ではなく ws2007FederationHttpBinding に変更して問題を整理し、クライアント サービス参照を更新しました。

<bindings>
  <ws2007FederationHttpBinding>
    <binding name="serviceBinding" receiveTimeout="05:00:00" sendTimeout="05:00:00">
      <security mode="Message">
        <message>
          <issuerMetadata address="http://localhost/MyCompany.SecurityTokenService/ActAsIssuer.svc/mex"/>
        </message>
      </security>
    </binding>
  </ws2007FederationHttpBinding>
</bindings>

次に、自己署名証明書を使用しているため、クライアント構成で次のエンドポイント動作を使用して certificateValidationMode を変更する必要がありました。

<behaviors>
  <endpointBehaviors>
    <behavior name="MyServiceBehavior" >
      <clientCredentials>
        <serviceCertificate>
          <authentication certificateValidationMode="PeerOrChainTrust"/>
        </serviceCertificate>
      </clientCredentials>
    </behavior>
  </endpointBehaviors>
</behaviors>

そして最後に、自分の証明書が Trusted People ストアにあることを確認する必要があり、最終的にサービスを呼び出すときに正しい IClaimsIdentity を取得しました:)

しばらくの間私を夢中にさせたので、これが誰かを助けることを願っています...

于 2012-09-27T08:01:00.073 に答える