SAML トークンを使用して WCF Web およびデータ サービスにアクセスする必要がある WinForms および ASP.Net アプリケーションがあります。
Windows Identity Foundation (WIF) を調べて、WCF サービスが STS-IP からの SAML トークンを使用できるようにしました。
クライアントで、STS を呼び出して SAML トークンを取得し、そのトークンを WCF サービスに渡しますか? もしそうなら、トークンを取得して WCF に渡すにはどうすればよいですか?
また
クライアントは、ユーザーの資格情報 (ユーザー名/パスワード) を WCF Web サービスに渡しますか? WCF Web サービスは SAML トークンを取得して処理を行いますか?
私の理解では、WCF Data Services は REST を使用しています。では、SAML は REST とどのように連携するのでしょうか?
SAML トークンは、アクティブなクライアント シナリオ (WinForms) で WS-Trust を介して取得できます。WS-Trust は、トークンを取得するために STS が提供するいくつかのサービス (セキュリティ トークンの要求、RST) について説明しています。トークンは証明書利用者 (WCF サービス) に対して署名され、WS-Securtiy ヘッダーを介して渡すことができます。もちろん、有効なトークンを直接取得するには、何らかの資格情報を STS に渡す必要があります。
パッシブ シナリオ (ASP.Net) では、少し異なります。最も一般的なのは、Web アプリが STS を使用してユーザー認証を処理することです。したがって、ユーザーは有効な関連付けられた SAML トークンを持っています。WS-Trust は、証明書利用者にとって有効なトークンを取得するために使用されます。その後、上記と同じ手順。
証明書利用者 (WCF サービス) は、有効な SAML トークンを持つ要求のみを処理します。ユーザーのトークンを取得することはありません。ユーザー名/パスワードを渡し、認証を処理した後、クレームベースのアイデンティティで避けたいことがまさにあります;-)
「A Guide to Claim-Based Identity and Access Control from MS.」をご覧になっていると思います。もちろん、WS-Trust/WS-Security は SOAP Web サービスで使用されます。