問題タブ [acs]

Azure AccessControl Service 2.0 から要求認証を受け取った後、(ローカル データベースから読み込まれた) カスタム ユーザー情報をマップするための ASP.NET MVC3 インフラストラクチャの最適な拡張ポイントはどこかを把握しようとしています。

Microsoft.IdentityModel.Claims.ClaimsAuthenticationManager クラスの Authenticate メソッドをオーバーライドして、これを実現しようとしました。

ただし、このメソッドは、ページの読み込みリクエスト中に複数回呼び出されているようです。ここでカスタム ユーザー情報を読み込むと、パフォーマンスの問題が発生する可能性があります。認証されたセッションごとに一度だけロードしたいと思います。

それを行うためのより良い場所はありますか？おそらく、IClaimsPrincipal が構築されている下位レベルのどこかでしょうか?

REST API (WCF WebAPI) を世界に公開するソーシャル Web サイトを構築しているため、開発者は Web サイト用のクライアント アプリケーションを作成したり、他のサービスと統合したりできます。

Facebook/Twitter スタイルのアクセス制御メカニズムを API に実装したいと考えています。開発者がサイトの開発者セクションにアプリを登録し、キーを作成し、OAuth ワークフローでそのアプリ キーを使用して API にアクセスできるようにします。

このプロジェクトでは Azure を使用しているため、OAuth プロセスを容易にするために Azure ACS を活用することを検討しています。ただし、ACS でアプリを承認するためのコード サンプルやマニュアルが見つかりません。

誰かがそのような例を共有したり、少なくとも私自身の研究の方向性を教えてくれませんか? 別の OAuth ライブラリ (DotNetOpenAuth など) を使用して Facebook/Twitter の動作を実現できれば、それも素晴らしいことです。

前もって感謝します。

認証にMSAzureアクセス制御サービスを使用するRESTサービスを開発しています。例が何らかの兆候である場合、この方法でRESTサービスを保護する一般的な方法は、保護されたサービスにグローバルユーザー名とpw、秘密鍵、またはX.509証明書を提供することです。ただし、次のようなフローでモバイルデバイスでパッシブユーザーログインメカニズムを使用したいと思います。

1. 認証されていないユーザーがアプリから保護されたサービスにアクセスしようとしています
2. モバイルアプリはブラウザアプリ（または埋め込みブラウザ）にリダイレクトします
3. ユーザーは、ACSログインページからログインに使用するIDプロバイダー（Facebook、Googleなど）を選択します
4. ユーザーがIDプロバイダーのクレデンシャルを入力します
5. ブラウザはアプリにリダイレクトします
6. アプリはどういうわけか、後続のRESTリクエストで使用するSWTトークンを取得します。

私はステップ5について立ち往生しています-SWTトークンを取得します、そして私が見つけた既存の例はこのシナリオに対処していないようです。さらに、私は実際にWPFのデスクトップクライアントを使用して概念実証を構築しようとしていますが、これは事態を複雑にする可能性があります。ユーザーごとの認証とサービスごとの認証を使用する特定のチュートリアルまたは追求するパスを誰かが提案できますか？ありがとう。

編集： これを深く掘り下げていくと、以下に投稿された例（および他のほとんどの例）は、OAuth2.0を支持して非推奨になったOAuthWRAPに基づいていることに気付きました。誰かがより最新のリファレンスを提案できますか？グーグルはhttp://blogs.msdn.com/b/adventurousidentity/archive/2011/09/18/acs-v2-oauth-2-0-delegation-support-explained.aspxとhttp：//connectを公開しました。 microsoft.com/site116​​8/Downloads/DownloadDetails.aspx?DownloadID=32719ですが、最も直感的ではありません。

Live ID を使用しているときに、$(InputValue) を使用して ACS からユーザーの電子メール アドレスを返す/パススルーするように ACS ルールを結び付ける方法はありますか?

パッシブ認証を使用していて、Live ID にリダイレクトされますが、InputValue 電子メール アドレスを取得する可能性のあるルールを ACS から関連付ける方法があるかどうか疑問に思っていました

私が見る限り、これはもちろんログイン ページをホストすることで可能になると思いますが、可能であれば ACS から別の方法で取得できるようにしたいと考えています。

(現在のシナリオは、ユーザー ID とロール用のデータベース バックエンドを備えた既存の ASP.Net アプリケーションの上に Live ID 認証を実装することであると付け加えておくべきでした。)

現在のシナリオに関する追加情報: 現在のシナリオは、独自の独自のデータベース認証セキュリティ モデルを備えた既存のシステムです。ユーザーの電子メールアドレスを傍受できるかどうかを確認するためにあらゆる種類の方法を試しましたが、最終的にこれを行うための利用可能なアプローチは望ましくないと判断しました (この特定のシナリオでは)。

このシナリオで Live ID 認証に移行するための唯一の適切で安全なパターンは、アプリケーションの周りに登録システムを構築することです。これにより、既存のユーザーが LiveID を登録し、それらをアプリケーションに戻して Live ID 'nameidentifier' をキャプチャできるようになります。 .

ただし、未知のユーザーがこれを実行できることを考えると、使用されている Live ID 電子メール アドレスを検証するために、電子メールまたはそのようなメカニズムを介した中間認証手順が必要になります。

これが誰かの助けになることを願っています。

Facebook開発者ポリシーのルール＃6には、明示的なログアウトリンクを提供する必要があると記載されていますが、それを機能させることができません。

私の目標は、Facebookからアプリケーションをサインアウトするか、Facebookエクスペリエンス環境全体のユーザー、またはその両方からサインアウトすることです。これまでのところ、これらのいずれも実行できません。

これは、私がAzure ACSを使用していて、通常のFBAPIを使用していないという事実によって複雑になる可能性があります。私が試したことは次のとおりです。

試行1：FacebookOAuthログアウト

試行2：ACSログアウト（文書化されていませんか？）

これらのアプローチはどちらも、代替のFacebookユーザーがサインインすることを許可しません。リンクをいただければ幸いです。

簡略化された質問

* .accescontrol.windows.netを取得して自分のWebサイトにリダイレクトするにはどうすればよいですか？

ACSサンプル4（ http://claimsid.codeplex.com/から）をADFSプロジェクトのテンプレートとして使用しようとしています。ADFS認証済みサービスへのパッシブリクエストには問題はありません。サンプルでは、​​フェデレーションプロバイダーはカスタムSTSであり、サンプルは正常に機能します。

ここで、カスタムフェデレーションプロバイダー（サンプルのAdatum FP）を独自のADFSに置き換えたいと思います。

現在の設定は次のとおりです（名前空間は非表示）

• ServiceClient：コンソールアプリケーション、サービスを呼び出します
• サービス：WCF Webサービス、文字列を返す単一のメソッド。これはデフォルトです[サンプルのOrdertracking.Services]
• Services.Authentication：カスタムIDプロバイダー。これはデフォルトです[サンプルのLitware.SimulatedIssuer]
• ADFS：フェデレーションプロバイダー[例ではFederationProvider.Adatum]

ServiceClientはServicesを呼び出したいと考えており、構成からIP（Services.Authentication）からトークンを取得する必要があることを認識しています。次に、トークンはADFSに渡され、ADFSはトークンを検証して、新しいトークンをServiceClientに送り返します。newクライアントはFPトークンをサービスに渡し、サービス（ADFSの依存側）はトークンをADFSに対して検証し、サービスメソッドを実行します。

問題：

例のSTSをADFSに置き換えると、統合が壊れているようです。IPからトークンを正しく取得しているようですが、IPトークンをADFSに渡すときに問題が発生しています。オーディエンスURIに問題があるようですが、追加しました

https：//'adfs fqdn' / adfs / services / Trust / 13 / IssuedTokenMixedSymmetricBasic256

クライアント例外 このInnerExceptionInnerException{"ID3242：セキュリティトークンを認証または承認できませんでした。"}を使用して、クライアントでMessageSecurityExceptionを取得します。

ADFSデバッグログ

IPWeb.configにオーディエンスURIを追加しました。

必要に応じて、追加の構成ファイルとADFS構成のスクリーンショットを投稿できます。

現在標準の ASP.NET メンバーシップ プロバイダーを使用しているサイトを移動して、Windows Identity Foundation と Azure ACS によるクレーム ベース認証を使用したいと考えています。

OAuth 2.0 で保護された REST サービスを使用してサイトを表示するので、これは賢明な方法です。また、認証を外部のサードパーティ ADFS やその他のシステムと連携させる必要がありますが、これはまさに ACS が非常にうまく解決する問題です。

ただし、既存のユーザーが既存の資格情報を使用する機能も保持したいと考えています。

これを行うには、ASP.NET メンバーシップ プロバイダーで動作するカスタム STS が必要だと思います。

すべての文献 (たとえば、Bertocci の「Programming Windows Identity Foundation」) は、カスタム STS を作成するのは悪い考えであると示唆しています。それに、私も同意見です。私は、独自のセキュリティ コードを書くのは本当に好きではありません。

メンバーシップ プロバイダーのデータを使用できる STS はありますか?

シナリオは次のとおりです。

AZURE Dev 環境で実行されている MVC 3アプリケーション

ユーザー名と電子メールを取得しようとしていますが、クリア テキスト値を取得する方法で「要求ルール」を構成する方法が見つかりません。代わりに、暗号化されているように見える文字列を取得します。 . クリア テキストで取得するようにルールを構成できますか? または、返された値の暗号化を解除できますか? これは可能ですか、それともここで間違ったことを見ていますか。

ありがとう

WIF と ACS を使用して、Azure でホストされている IIS がホストする svc WCF サービスを保護するのに苦労しています。

ここで多くのハウツーを見つけました： http://msdn.microsoft.com/en-us/library/gg185939.aspx

セキュリティで保護された WCF サービスを作成し、証明書またはユーザー名/パスワードを使用して認証する方法について説明しているものに特に興味があります。

これで、ACS 定義の部分がかなり明確になりました。しかし、サービス自体を保護することになると、私は苦労します。私は WebRole と SVC ファイルを使用してサービスを公開しており、ハウツーの構成はコードで行われており、Azure Webrole でも機能しないと思います。

この組み合わせを機能させる方法についての助けをいただければ幸いです。

ACS ポータルからアプリケーション用のサンプル ログイン ページをダウンロードしました。これは html ファイルです。次に、アプリケーションを WIF で構成すると、すべてが完全に機能しました。

ユーザーがログインした後にクエリ文字列を使用できるように、着信クエリ文字列を処理して保存する必要があるため、html ログイン ページを aspx ページに移動する必要がありました。

問題は、web.config ファイルで WIF の発行者を aspx ファイルに変更すると、機能しなくなることです。動作すると、次のようになります。

しかし、html ページのすべてのコードを移動した aspx ページに変更すると、ページを読み込むことさえできません。

次に aspx ファイルを構成して実行すると、フィドラーで何かが正しくないことがわかります。取得しようとして、「オブジェクトがここに移動しました:」を取得し続けます。これは取得要求です:

最後に、クエリ文字列が長すぎるという例外がスローされます。リクエストのエラーと警告:

MODULE_SET_RESPONSE_ERROR_STATUS

ModuleName UrlAuthorization

通知AUTHORIZE_REQUEST

HttpStatus 401

HttpReason 権限がありません

HttpSubStatus 0

ErrorCode Åtgärden har slutförts. (0x0)

構成例外情報

フィードバックまたは代替ソリューションは高く評価されます。