問題タブ [acs]

許可された対象者を具体的にリストし、トークンがそれらの対象者のいずれかからのものであるかどうかを確認し、X509 証明書の拇印と発行者も確認するカスタム Secure Token Service がある場合、WSFederation は必要ですか?

私の STS は、トークンが特定のアプリケーションから既に取得され、ACS を介してルーティングされていることを確認しているため、必要なすべてのことを確認していませんか? アプリケーション A が ACS にリクエストを送信し、ACS がアプリケーション B にリクエストをすべてカスタム STS から送信したことはわかっています。

わかりやすくするために編集します。

申し訳ありませんが、元の投稿で少し不明確でした。セキュリティトークンハンドラーの代わりにSTSを使用したため、混乱が生じたと思います（別の方法で、タイプミスです）。アプリケーション A は、ユーザーのログイン オプション (google/facebook/yahoo/etc) を表示するカスタム ログイン サービスです。これらのサービスを介してログインすると、ACS からトークンが取得され、証明書利用者であるアプリケーション B に返されます。この RP には、トークンを受け入れるカスタム セキュリティ トークン ハンドラがあり、アプリケーション A と一致するオーディエンス URI があることを検証します。また、発行者が ACS であり、拇印が、 ACS。

これは、アプリケーション B が、アプリケーション A がログインに使用されたこと (その AudienceURI から来たため) と、ACS がトークンを送信したこと (発行者であり、拇印が一致したため) を理論的に認識していることを意味します。私が求めているのは、フェデレーション ID がアプリケーション B に必要かどうかです。トークンがどこから来たのかをすでに証明している場合、それを使用することで正確に何を得ることができますか?

認証を対象とする関連ドメイン Cookie 攻撃から身を守るために、WIF ベースの認証セッションに追加のセキュリティを実装するにはどうすればよいですか?

ユーザーが Google、Facebook、および Windows Live アカウントを使用して ASP.NET MVC Web サイトにサインインできるようにしようとしています。私は現在、Azure App Fabric ACS を使用していますが、これはほとんど簡単すぎました。問題は、メールアドレスが必要だということです。Google と Facebook は電子メールをクレームとして提供しますが、Windows Live は提供しません。LiveConnect サイトから、これは wl.basic (ユーザー名を取得するため) および wl.emails (ユーザーの電子メール アドレスを取得するため) スコープを使用して簡単に可能であるように見えますが、順番に ACS に影響を与えることはできませんでしたこの情報を取得します。また、ユーザーがサインインした後に自分のサイトから取得するために、OAuth2 Web サーバー フローを実装しようとしました。必要な情報を取得することはできましたが、FedAuth Cookie が削除されたため、サインオンの無限ループに陥りました。にリダイレクトしましたhttps://oauth.live.com/authorizeでフローを開始します。これを（サーバー側で）機能させることができた人はいますか？ACS を完全に破棄し、各プロバイダーのカスタム コードを使用してサインインを有効にするカスタム ページを提供する必要がありますか?

以前のデモ (ブログ エンジン ala smarx) をコードで改造して、独自のものを公開する必要がないようにしました。私のweb.configにFedUtilは以下を挿入しました:

すべてのユーザーの拒否を削除しました

しかし、ユーザーに許可を強制する特定のアクション メソッド (新しいブログの投稿) があります。

Cookie (FedAuth および FedAuth1) が最初に入力された New リクエスト内。リダイレクトが返された後、それらはなくなります。私はセッション プロバイダーに対して何もしていません (おそらくそうすべきです)。

Windows Phone アプリでアクセス制御を使用しています。何らかの理由で、ログイン後に別のアカウントでログインするようにユーザーに依頼する必要があります。ただし、通常、ユーザーは「自動的にサインインする」ボックスにチェックを入れ、別のアカウントを使用してサインインすることはできません。したがって、liveIDをログアウトして、ユーザーに別のアカウントで再度ログインするように依頼する方法を考えています。

私はこれを使ってみました：

しかし、機能していません。私が何をすべきかについての手がかりはありますか？ありがとう！

サービス バスの STS として ACS を使用したいと考えています。Web サービスの認証に ACS を使用することができました。ただし、サービス バスにはトークンが必要ですが、ACS からトークンを取得する方法がわかりません。

要するに、acs (サービス バス -sb に対応するもの) にサービス ID として格納されている証明書と一致する証明書で認証することにより、クライアント wcf サービスがサービス バスを使用できるようにしたいと考えています。

また、サービス バスには NetTcpRelayBinding を使用しています。

クライアント証明書を使用してトークンを取得できれば、acs からトークンを使用できると思います...?

Windows Azure と Silverlight は初めてです。Windows Live ID を使用した認証で単純な Silverlight Web サイトを作成しようとしています。これまでのところ、単純な ASP.net WebRole を使用して簡単に機能させることができましたが (それについては多くのチュートリアルがあります)、Silverlight ではできませんでした。私の Silverlight サイトでは、Silverlight xap を参照して WCFServiceWebRole を作成しました。正常に動作するので、ユーザーを認証してクレームを取得する必要があります。簡単に言うと、Azure Web サイトと同じように行う必要があります (Live ID を使用してから、Silverlight ポータルにアクセスします)。

どうすればそれができますか？

前もって感謝します..

私はc＃を使用してメトロアプリケーションにACSを実装するためのサンプルを見つけようとしました。

しかし、サンプルが見つかりませんでした。

誰かがC＃でXAMLを使用してメトロアプリケーションにACSを実装するためのステップバイステップの詳細を手伝ってくれますか？

Azure Training Kit には、「IntroToACS2」というタイトルのラボが含まれています。その中で WebRole を作成し、ACS を有効にして、Google、Live、または Yahoo ID を使用してログインできるようにします。ラボの 2 番目の部分では、サンプルのログイン ページを ACS からダウンロードして、サイトのスタイルに合わせてカスタマイズできるようにするプロセスについて説明します。

この最後の部分を行う前は、ディープリンクは正常に機能していました。意味: http://localhost/acsdemo/securepage.aspxなどの安全なページを要求すると、ACS が要求をインターセプトし、ログイン ページにリダイレクトしてから、http://localhost/acsdemo/securepage.aspxに戻します。 、しかし今はデフォルトページhttp://localhost/acsdemo/default.aspxに戻るだけです。

Azure ACS からログイン ページをダウンロードした後、ディープ リンクが再び機能するようにするには、何をする必要がありますか?

最近、Access Control Service をアプリに組み込みました。そして、開発ファブリックでは 100% 正常に動作します (例外はスローされません)。ただし、これを実際の azure Web サイトで実行すると、Web サイトの読み込みに失敗します。

Web サイト全体の呼び出しをログに記録しましたが、起動するのは OnStart() メソッドの WebRole の最初と最後だけです。ヒットするはずのコントローラーにログインを追加しましたが、呼び出されることはありません。また、カスタム WSFederationAuthenticationModule でオーバーライドされる "InitializePropertiesFromConfiguration" メソッドにログインを追加しました。これにより、Web 構成で何かを実行する際に問題が発生していると思われます (カスタム STS ハンドラーの追加など)。以下は私のアプリケーションの web.config です。誰かがこれらの問題を引き起こしている可能性があるか、または少なくとも試してみるべき何かを知っているなら、私は非常に感謝しています。さらに悪いことに、作業ファイアウォールの問題により、Azure マシンにリモート接続して Windows ログにスローされたエラーを確認することができません。私'

編集:これをいじった後、2つの問題が見つかりました.1つは修正しましたが、もう1つはまだ解決する必要があります:最初の問題は、Web構成にこれが必要だったことです:

2 番目の問題は、証明書の読み込みに関係しています。

コードのこの部分をコメントアウトすると、正常に動作します。それがまだそこにあると、それは機能しません。明らかな問題は、この証明書を読み込めないことです。代わりに拇印でロードしようとしましたが、役に立ちませんでした。私の最善の推測は、紺碧で storeLocation または storeName が正しくないことです。証明書を「Certificates」フォルダに追加しましたが、見つかりません。これらをいじって、また報告します。

EDIT2: 2 番目の問題の原因が見つかりました: Web ロールに証明書を追加するのを忘れていました。このサイトは、それを理解するのに大いに役立ちました: http://blogs.msdn.com/b/jnak/archive/2009/ 12/01/how-to-add-an-https-endpoint-to-a-windows-azure-cloud-service.aspx

私は現在、Azure ACS とクレームベースの認証の組み合わせと、カスタム STS を使用するオプションを理解しようとしていますが、(残念ながら少数の) 情報ソースをゆっくりとしか理解していません。これにさらに時間を費やす前に、私の計画が可能かどうかを確認したいと思います. 従業員と顧客の両方がインターネット経由でアクセスしている複数の Azure ロール (Web + ワーカー) があります。さらに、従業員はローカル ネットワーク内からこれらの役割とデスクトップ アプリにアクセスします。

ユーザー データは 2 つのソースから取得されます。私たちの Azure アプリには、顧客と従業員に関するユーザー データがあり、従業員からの (ローカル) AD のみがあります。

ログイン エクスペリエンスを可能な限り効率的 (かつ人間工学的) にするために、ローカル ネットワーク経由でアクセスした場合、従業員はデスクトップ アプリ (Windows ユーザー プロファイル コンテキストにより自動的に) と azure の両方で自動的に認証 (Windows 統合認証?) される必要があります。アプリ（できればログインページなし）。一方、顧客は、Azure アプリにアクセスするときにユーザー資格情報を入力する必要がありますが、異なる "資格情報ソース" を決定する必要はなく、ユーザー名とパスワードの形式を取得するだけです。言い換えると

• 従業員がローカル ネットワークから Azure アプリにアクセス -> 統合認証 / AD データによる自動ログイン
• 従業員がインターネットから Azure アプリにアクセス -> ユーザー名とパスワードのフォーム
• 顧客がインターネットから Azure アプリにアクセス -> ユーザー名とパスワードのフォーム

この質問を書いているときに、さらに 2 つのことが頭に浮かびました。

1）ソース/クッキー/ウィザードリに基づいて自動ログインすることさえ可能ですか、それとも「資格情報ソース」を選択するためにユーザーが手動で選択する必要がありますか?

2) Azure ACS が、ユーザー名 X の AD アカウントが Azure アプリ ユーザー Y と同じであることを「認識」している場合、どちらがログインするかは重要ですか? アプリはどちらのログイン ルートでも同じクレーム データにアクセスできますか?