問題タブ [adfs2.0]

現在、.NET SOA環境（ASP.NET MVC、WCF）で認証と承認を要素化する方法を評価しています。

私は、STSでWindows Identity Foundationを使用すると、基準を満たす必要があると結論付けました。

ADFS以外のWIFで動作する適切なSTSを見つけるのに苦労しています。複数のオプションがあることは知っていますが、これらがWIFとどのように連携するかについて利用できるドキュメント/経験はありません。

Summa summarum、複数の質問：

これはばかげた考えですか？

WIFとスムーズに連携するSTS製品はありますか？これに関するリソースはありますか？

一元化された（まだスケーラブルな）認証を実装できる製品はありますか（XACMLサポートがある場合でも）？

ADFS/WIFでWSO2IdentityServerを使用した経験は何ですか？

WSO2 Identity ServerにはいくつかのXACML機能がありますが、これらをWCFサービスの承認でどのように使用できますか？

クライアントで ADFS 2.0 によって発行されたトークンをキャッシュしており、サービスを呼び出すときにそれを数回使用しています。

本番環境では、クライアントがキャッシュできるトークンが数分後に期限切れになるようにしたいと考えています。ADFS 2.0 からのトークンは 10 時間後に期限切れになると読みましたが、証明書利用者のトークンの有効期限を変更できる場所が見つかりません。

これは、現在 STS からトークンを要求する方法です。

WEB SSO の時間を 2 分にしてみましたが、効果がないようです。

ADFS で有効期限を構成する正しい場所はどこですか?

次のシナリオがあります。

Active Directory 1: WCF クライアント、ADFS 2.0 (STS)

Active Directory 2: WCF サービス (証明書利用者)

RP を ADFS に追加しましたが、ADFS からトークンを要求すると、次のエラーが表示されます: System.ServiceModel.FaultException: ID3242: セキュリティ トークンを認証または承認できませんでした。

ADFS のイベント ログを見ると、一致するエラーが見つかります。

拇印 'XXXXXXXXXXXX' で識別される証明書利用者信頼 'http://XXXXX/Service1/' 証明書の証明書チェーンを構築しようとしているときにエラーが発生しました。考えられる原因としては、証明書が取り消されている、証明書チェーンが証明書利用者信頼の暗号化証明書の取り消し設定で指定されているとおりに検証できなかったか、証明書が有効期間内にないことが考えられます。

AD FS 2.0 の Windows PowerShell コマンドを使用して、証明書利用者暗号化証明書の失効設定を構成できます。証明書利用者信頼の暗号化証明書失効設定: CheckChainExcludeRoot 証明書チェーンの構築中に次のエラーが発生しました: 不明なエラー。未知のエラー。

User Action: 証明書利用者信頼の暗号化証明書が有効であり、取り消されていないことを確認してください。失効設定で「なし」または「キャッシュのみ」の設定が指定されていない場合は、AD FS 2.0 が証明書失効リストにアクセスできることを確認します。プロキシ サーバーの設定を確認します。プロキシ サーバーの設定を確認する方法の詳細については、AD FS 2.0 トラブルシューティング ガイド (http://go.microsoft.com/fwlink/?LinkId=182180) を参照してください。

ADFS は RP からの署名証明書を信頼していないようです (当然のことながら、署名証明書を発行した CA は別の AD にあります)。CertificateRevokationList は、両方の Active Directory から到達可能です。

「ローカル コンピュータ」の信頼されたルート証明書に CA 証明書を追加しましたが、問題は検証メカニズムにあると思います。

ADFS が適切な証明書で署名されたトークンを発行するには、何を構成する必要がありますか、または証明書が有効であることを ADFS に納得させるにはどうすればよいですか?

編集：

powershell コマンドを使用して失効チェックを変更してみました。

しかし運が悪かった: Set-ADFSRelyingPartyTrust : 指定された名前付きパラメーターを使用してパラメーター セットを解決できません。

編集2 :これはうまくいきました:

しかし、現在、Active Directory 1 のクライアントが証明書について不平を言っています...

System.ServiceModel.Security.SecurityNegotiationException: ターゲット 'http://XXXXXXXXXXXXXXXXXX/Service1/' の 'http://XXXXXXXXXXXXXXXXXXXXXXXXXXXXX/Service1/' との SOAP セキュリティ ネゴシエーションが失敗しました。詳細については、内部例外を参照してください。---> System.IdentityModel.Tokens.SecurityTokenValidationException: X.509 証明書 CN=RP-サービス チェーンの構築に失敗しました。使用された証明書には、検証できない信頼チェーンがあります。証明書を置き換えるか、certificateValidationMode を変更してください。信頼されたルート機関への証明書チェーンを構築できませんでした。

次のような企業内に多くの部門があるイントラネットを想像してみてください。

\家

…。\ディビジョンA

…。\ディビジョンB

…。\DivisionC

…。\DivisionD

…</p>

…。\DivisionXXX

多くの部門があります–約50。本質的に、各部門は本質的に別々のウェブサイトです。

現在、WIAが使用されています。

現在、この会社（Microsoft中心）は他の組織とのSSOを設定したいと考えているため、他の組織はADFSv2をインストールすることにしました。

ただし、一部の部門はそのアイデアを好みません。

基本レベルでweb.configをFBUtilにすると、サイト全体が保護されます。

一部の部門を保護し、他の部門を保護しないために、ADFSを必要とする部門の部門レベルでweb.configをFBUtilすることができますが、それらの部門が非常に多いため、メンテナンスの悪夢になります。

一部の部門でADFSを許可するが、現在のように認証を維持するためのより良い方法はありますか。

adfs2 を Java アプリケーションで使用できますか? Javaでシングルサインオンを実装したい。.net フレームワークが必要であると述べた記事をいくつか読みました。

AD FS 2.0をインストールし、ドメイン外の別のマシンにWIFとVS2010をインストールしました。

ASP.NET MVC 3アプリケーションを作成し、STS参照の追加ウィザードを使用して構成しました。ADFSからFederationMetadata.xmlをダウンロードしました。

AD FSに証明書利用者の信頼を追加し、MVCアプリケーションのURL（http：// localhost：16034 /）に識別子を指定し、受信クレームを使用して、受信クレームのパススルーまたはフィルター処理を行うクレームルールを作成しました。タイプはWindowsアカウント名でした。

また、WS-FederationのRPにエンドポイントを追加しました。URLはhttps://192.168.56.101/adfs/ls/で、これは私のADFSIPアドレスです。

次に、Webサイトを起動すると、https：//192.168.56.101/adfs/ls/？wa = XXXX＆wtrealm= XXXXXであるADFSにリダイレクトされました。しかし、最終的に、ページが参照コードでエラーであるというエラーページが表示されました。

AD FSマシンを確認したところ、エラーは次のとおりでした。

MSIS7001：パッシブプロトコルコンテキストが見つからないか、無効です。コンテキストがCookieに保存されている場合、クライアントによって提示されたCookieは無効でした。クライアントブラウザがこのWebサイトからのCookieを受け入れるように構成されていることを確認し、この要求を再試行してください。

しかし、問題は、Fiddlerを使用すると、MSISAuth = XXXXX MSISAuth1 = XXXXX MSISAuthenticated XXXXXMSISLoopDetectionCookitXXXXXなどのCookieで要求されたHTTPを確認できることでした。

私が間違ったことは何ですか？

ユーザーがページ上の値（テキストボックス/ LOV）を変更し、誤ってタブ/キャンセルボタンを閉じた場合に、カスタムポップアップ警告メッセージを表示する必要があります。

私が試したオプションは次のとおりです。

a）アプリケーション内では、7つの異なるシナリオに複雑なタスクフロー/RegionModelを使用しています。また、要件はカスタムメッセージを表示することです-したがって、アプローチ「unsaveddatawarning」を使用できませんでした

http://www.oracle.com/technetwork/developer-tools/adf/unsaveddatawarning-100139.html

b）私が試した2番目のオプションは、カスタムリージョンコントローラーを使用することでした。CustomRegionControllerはRegionControllerを実装します

validateRegion（RegionContext regionContext）の内部で、ページデータがダーティかどうかを検出すると考えられています

また

どちらのシナリオでも、常にtrueになります（データがページの読み込み時にレンダリングされると、VO / View Linkアプリケーションモジュールの一般的なセットが常にダーティになるためと思われます）。

私に残された最後のオプションは、各要素（textbaox、LOV、チェックボックス）に対してvalueChangeListenerを呼び出すことです。私はこのオプションがまったく好きではありません。このシナリオを処理するためのより良い方法があるかどうかを提案してください。

によって、特定のユーザーがActiveDirectoryに存在するかどうかを確認する必要がありますADFS。

したがって、ADFSをcheck user Authentication UserName/Passwordで実行する必要があります。

誰かが同じためのサンプルコードまたはチュートリアルを提供していただけませんか。

前もって感謝します！

パッシブ認証を使用できず、WIFを備えていないMetroStyleアプリにこれが必要です。

これまでのところ、ADFS2.0からSAMLトークンを取得することができました。次に、このトークンをlogin.MicrosoftOnline.comに送信する必要があります。これにより、[mysite] .sharepoint.comに提供するSWTトークンが返され、REST要求に含めるCookieが提供されます。

ADFS2.0とlogin.MicrosoftOnlineはどちらもWS-Trustについて話します。トークンリクエストをMicrosoftOnlineに送信する方法を示すサンプルをウェブ上でたくさん見つけましたが、それらはすべて、ユーザー名とパスワードを一緒に送信することに依存しています。ただし、この場合、MicrosoftOnlineにはパスワードを直接認証する権限がありません。私の唯一のオプションは、それにSAMLトークンを与えることです。

私が使用しているユーザー名とパスワードは、パッシブ認証を使用している場合は正常に機能するため、資格情報は問題になりません。

サンプルは任意の言語（クリンゴン語を除く）にすることができますが、.Netをお勧めします。

ADFS とクレームで動作するシステムを構築しようとしています。現時点では、これは単なる「おもちゃ」の実装です。

非常に単純な MVC Web アプリケーションを構築し、Visual Studio の「ID とアクセス...」ウィザードを使用して ADFS 2.0 サーバーと通信するようにセットアップし、IIS サーバーに展開しました。すべて正常に動作し、受け取ったクレームを調べて一覧表示できます。

次のステップは、Web API ベースの REST サービス (MVC アプリケーションが依存するバックエンド サービスを表す) を構築することです。そのため、資格情報をそのバックエンド サーバーに渡して、適切な承認を行うことができるようにします。決定。

HttpClientしたがって、最初のステップは、委任トークンを作成することです (そして、残りの呼び出しを行うクラスに関して、委任トークンをどうするかを考えます)。私はこれを持っています：

しかし、問題はそれSecurityTokenServiceが抽象的であることです。System.IdentityModelどちらにもこのクラスから派生した型が見つかりませSystem.IdentityModel.Servicesん。上記には、ある時点で提供する必要があることは明らかな ADFS サーバーへの参照が含まれていません。

もちろん、私も完全に間違ったルートを下っている可能性があります。あるいは、小さなつまずきにぶつかっただけで、はるかに大きなつまずきが遠くに迫っているのが見えないので、それに関するアドバイスもいただければ幸いです.

たとえば、Identity Delegation Scenarioを見てきましたが、それは を使用しておりCreateChannelActingAs、休憩サービスと話しているときにうまくいくとは思いません (またはそうなるでしょうか?)。 .NET 4.5 に適用されます。