問題タブ [acs]

少し前に、Azureプラットフォームに関連するすべてのことを学び始めました。私はいくつかのものが魅力のように機能する方法に本当に魅了されています。その1つは、AppFabricアクセス制御サービス（ACS）と、Facebook、Google、Live IDを使用したシングルサインオン（SSO）の可能性です...

AppFabricを実行する方法を学んでいたとき、そのプレビューバージョンを使用しました（https://portal.appfabriclabs.com/で無料で入手できますが、SLAはありません）。SSOに関するすべてのチュートリアルは、その管理ポータルに基づいていました。

さて、実際のAzureアカウント（およびそれを使用するAppFabric）を持っていると、ACSを構成するポータルのどこにもセクションが見つからないため、本当に混乱しますか？実際のappfabricアカウントを使用して、Facebook、ライブID、およびGoogle IDプロバイダーで中継パーティーを作成できるようにしたいですか？それは可能ですか？

いくつかの場所で、私が話しているのは将来のACSのプレビュー版にすぎず、まだ本番環境にないことがわかりました。それで、それが本当なら、私の主な質問は、製品版（実際のappfabricアカウント）を使用してWebアプリでシングルサインオンを実行できるかどうかです。そうでない場合は、現在の本番ACSバージョンで何ができますか？その主な目的は何ですか？

AppFabric ACSのプレビューバージョンと本番バージョンの主な違いが説明されているリンクがある場合は、それをいただければ幸いです。

PS-私が見つけてACSの現在の製品リリースで検討されているチュートリアルは、https：//portal.appfabriclabs.com/にあります。しかし、私はフェイスブック、グーグルとの統合を見ていません。そこにSSOはありません...

前もって感謝します。

Ping Identity から ACS プロバイダーにメタデータ ファイルをインポートした経験のある人はいますか?

Ping Identity 管理システムにログインしていますが、問題ありません。次に、idP ファイルをエクスポートすると、デジタル署名が含まれていないため、このファイルを ACS にインポートできません。署名が含まれていないというメッセージが表示されます。

他の誰かがこの問題に直面し、回避策について何か考えがありますか? 私はそれがかなり複雑であることを理解しているので、指が交差しました.

内部でホストされているWCFサービスに対してACSを使用してWCFクライアントを認証するにはどうすればよいですか？この問題は、カスタムレルムの設定に関連しています（設定方法がわかりません）。

私のACSはACSサンプルと同様に構成されていますが、「レルム」は次のように定義されています。

AzureACS構成ページからの抜粋

クライアントサイドコード

サーバーサイドコード

...urn:federation:customer:222:agent:11証明書利用者IDはどこにありますか

...http://localhost:7000/Service/Default.aspxこれは、ACS認証が行われた後に上記のWCF/WIFクライアントをバインドする場所です。

質問

上記のコードを編集して、クライアントとサーバーの両方が特定のポート（localhost：700）に対して動作し、urn：federation：customer：222：agent：11のレルムでも動作するようにするにはどうすればよいですか？

サーバーコードは正しいと思います。AudienceRestrictionただし、クライアントに設定するにはどうすればよいですか？

Live Id と Google を IP として使用していますが、ログオフ ボタンを機能させる方法がわかりません。

Access Control Service (ACS)とWindows Identity Foundation (WIF)を使用して、WCF Data Services Web API アプリケーションを保護することを考えています。

クレームを使用してユーザーを一意に識別するにはどうすればよいですか?

私の考えは、標準クレームNameIdentifierと WIF クレーム IdentityProvider を組み合わせて使用​​し、任意のユーザーに一意の ID を作成することです。

このコンボは本当に安定してユニークですか? IP が IdentityProvider 文字列を突然変更する可能性はありますか?

ここでの考え方は、2 つの半分を連結した文字列を任意のユーザーの一意の ID として保存することです。

NameIdentifier クレームにはセキュリティ上の意味がありますか?

乾杯、

M.

「インターネットアプリケーション」テンプレートを使用して、新しいASP.NET MVC 3 / .NETFramework4.0サイトを作成しました。Nugetを使用してWindowsAzureWebロール（MVC3）パッケージをインストールし、アクセス制御サービスのウォークスルーに従ってWindowsLiveIDとGoogle認証をセットアップしました。

すぐに、「潜在的に危険なRequest.Form値がクライアントから検出されました」というエラーが発生し、Windows IdentityFoundationwikiの記事に従って解決を試みました。残念ながら、私が試したことはありません。

• ルートweb.configとViews\web.configの両方で設定<httpRuntime requestValidationMode="2.0"/>します<pages validateRequest="false">

• SampleRequestValidatorWIF SDKからプロジェクトにコピーし<httpRuntime requestValidationType="SampleRequestValidator"/>、両方のweb.configsで設定します

私もこれらのバリエーションを試しましたが、成功しませんでした。

何か案は？

完全な例外は次のとおりです。

例外の詳細：System.Web.HttpRequestValidationException：潜在的に危険なRequest.Form値がクライアントから検出されました（wresult = " <t:RequestSecurityTo..."）。

説明：要求の検証により、潜在的に危険なクライアント入力値が検出され、要求の処理が中止されました。この値は、クロスサイトスクリプティング攻撃など、アプリケーションのセキュリティを危険にさらそうとしていることを示している可能性があります。ページがアプリケーション要求の検証設定を上書きできるようにするには、httpRuntime構成セクションのrequestValidationMode属性をrequestValidationMode="2.0"に設定します。例：<httpRuntime requestValidationMode="2.0" />。<pages>この値を設定した後、Pageディレクティブまたは構成セクションでvalidateRequest = "false"を設定することにより、要求の検証を無効にできます。ただし、この場合、アプリケーションですべての入力を明示的にチェックすることを強くお勧めします。詳細については、 http： //go.microsoftを参照してください。

スタックトレース：

[HttpRequestValidationException（0x80004005）：潜在的に危険なRequest.Form値がクライアントから検出されました（wresult = " <t:RequestSecurityTo..."）]

私は Azure ACS を使用しており、これを .NET 4.0 Web サイトの SSO 戦略に組み込んでいます。[Rule Groups] ページで、一連のさまざまなクレームを格納して RP に戻すことができることを確認しました (国、住所、電話番号など)。作成したい任意のクレーム タイプを返すこともできるようです。これにより、ユーザーの情報の保存に関連する多くの質問について考えるようになりました。

• ユーザー情報 (nameidentifier 以外) を ACS とローカル データベース テーブルに格納することは理にかなっていますか?
• 無制限のルール グループとその中にルールを作成できるように思えました。あれは正しいですか？
• 社内のさまざまな企業やユーザーとやり取りすることになります。会社ごとにルール グループを作成し、ユーザーごとにルールを作成することは賢明な選択でしょうか。
• API は非常に堅牢で、サインアップ ページなどの結果としてこれを自動的に行うことができるようです。正しいですか、間違っていますか?
• ユーザーに関する情報を返すために ACS に対してクエリを実行することは実行可能であり、推奨されますか (たとえば、ユーザーがオフラインのときに電子メール アドレスをクエリして、何かについてのメッセージを送信するなど)。
• レポート目的で ACS から大量の情報を取得できますか?

Google と Facebook はどちらも、Ping Identity や Microsoft ACS などのセキュリティ フェデレーション設定で ID プロバイダーとして機能できます。

Apple ID を ID プロバイダーとして追加できるかどうかは誰にもわかりませんか?

私はウェブを見ようとしましたが、矛盾する声明があります。オンラインフォーラムからの投稿の中には、これがサポートされていないと言っているものがあります。

ACSが応答側アプリケーション（およびオプションでSTS）がWebロールとしてAzureクラウドでホストされるシナリオをサポートしているかどうかを誰かが確認できますか？答えが「はい」の場合、それを実現するために、アプリケーションと構成設定に追加の変更を加える必要がありますか？

サンプルアプリケーションを展開し、WindowsLiveIDを介して認証されるようにACSを構成して試してみました。STSに到達せず、「'/'アプリケーションのサーバーエラー」というエラーで失敗します。これは、一部のアドレスが解決または到達されていないことを意味します。

誰かが何か考えを持っていますか？