短い背景:現在、私の状況では、WSDL/インターフェイスを制御しないサービス (WCF) を使用しています。クライアントが「Submit」を呼び出すと、ユーザーは資格情報を渡します。次に、これらの資格情報を使用して ADFS に対して認証し、暗号化された要求を受け取りたいと考えています。これらの要求を RequestSecurityTokenResponse として返すと、RequestSecurityTokenResponse.SecurityTokenXml (暗号化された XmlElement) が利用可能になります。RequestSecurityTokenResponse.SecurityToken が null のようです (おそらくどちらか一方のみが返されますか?)
注:私は WSDL を制御していないため、サービスを使用するためにユーザーに認証を強制するのではなく、ユーザーが認証要求と共に送信する資格情報を使用します。これは、Config ではなくコードでこれを行っていることを意味します。必要に応じてサンプル コードを投稿できます。
質問:
- 状況を考えると、これは合理的なアプローチのように聞こえますか?
- この XmlElement を証明書で復号化するにはどうすればよいですか?
- トークンを暗号化すべきではありませんか?