問題タブ [adfs]

私は、ユーザー情報に Active Directory を使用し、認証と SSO に ADFS を使用し、すべて ASP.NET MVC で構築されたいくつかのカスタム アプリケーションを使用するプロジェクトに取り組んでいます。

承認モデルは、クレームおよびロール ベースです。つまり、ユーザーのロールは、ADFS によって (WIF を使用して) 発行されたトークンを介して、関連するアプリケーションへのクレームとしてアクセスできます。

各役割には、アプリケーションのさまざまなリソースに対する許可のリストが定義されています (つまり、管理者の役割は、リソース X に対する WRITE 許可を持っています)。いくつかのハードコーディングされたアクセス許可でうまく機能する基本的な承認モデルがあります。

私の質問は、さまざまな役割の実際のアクセス許可を保存するための最良の方法/場所は何ですか? これは ADFS 内で実行できますか、それとも別のストアが必要ですか (私は後者だと思います)? アクセス許可は XACML と同じ大まかなパターン (user/role:resource:action) に従っており、XACML ソリューションはおそらく簡単に組み込むことができますが、XACML の最も一般的な .NET 実装 (XACML.NET) は XML を唯一のアクセスとして使用しているようです。実行可能ではないストレージメカニズム (アクセス許可を保存するための多くのリソースがあります - 潜在的に数千)。

人々はこれに何を使用しますか？最も明白な解決策は、トリプレットを SQL Server に格納することのようですが、(特に ADFS と WIF を使用した) 認証のためのすべての既製のソリューションを考慮すると、承認とアクセス許可を実際に実装するための (明白な) 情報がほとんどないことは奇妙に思えます。私がオンラインで見つけたすべての例は、権限レベルで物事を説明するには不十分です。

ASP.Net MVC3とADFS（パッシブフェデレーションを使用）を使用してシングルページアプリケーション（SPA）を作成しています。「ADFSからの再認証」と呼ぶものを除いて、すべてが期待どおりに機能しています。定期的に（30分未満）、WebサイトはSTSを使用してユーザーの再認証を試みます。これは問題ありませんが、Webアプリケーションは単一ページアプリケーションとして構築されているため、一度ロードされたページをリロードすることはありません。さらに、再認証要求はajax呼び出し中に頻繁に発生します。

ADFSには、WebSSOLifetimeとTokenLifetimeのデフォルト設定があります。

次のいずれかの方法があります：a）JavaScriptからバックグラウンドでサイレントにユーザーを再認証しますか（おそらくCORSやJSONPをクリエイティブに使用して）？またはb）再認証要求間の時間を延長しますか？またはc）何か他のもの。

b）に関しては、persistentCookiesOnPassiveRedirects = "true"を設定してから、cookieHandler内でpersistentSessionLifetimeを目的の値に設定できるようです。

ただし、永続的なCookieは使用したくありません。

最後に、ここで説明する鮮度設定を試してみました。ADFS2.0とのフェデレーションが成功しない場合にタイムアウトを適切に設定する方法。

どんな助けでも大歓迎です。

Active Federationを介してADFSサーバーへの認証を試みていますが、ユーザーの認証を試みる前に、AD/LDAPクエリを介して着信ユーザー名を変換する必要があります。

UserNameWSTrustBindingでUsernameMixedエンドポイントを使用しています：

私の問題は、認証を実行する前に、エンドポーリングに渡された「ユーザー名」をADFSサーバー上のユーザーの電子メールアドレス（ADまたはLDAP経由）に変換したいということです。これは可能ですか？

誰かが私を正しい方向に向けることができるかどうか疑問に思いました。現在、SSOなどを利用するためにクライアントのADFS IISサーバーに対して認証を行うクライアント用のWebアプリケーションをホストすることを検討しています。これはすべて問題なく、ここでは問題ありません。

この問題は、既存のデスクトップおよびモバイルアプリケーション（.NET、iOS、Androidなど）を検討するときに発生します。これらのアプリケーションを、Webアプリケーションと同じユーザーストアに対して認証する必要があります。

外部ADFSサーバーに対してWindowsデスクトップアプリケーション（.NETで記述）を認証することは可能ですか？もしそうなら、例を挙げていただけますか？

ADFSに対してネイティブモバイルアプリケーションを認証することは可能ですか？これを処理するには、HTTPリクエストなどを手動で作成する必要があると思います。誰かが私に関連するドキュメント/例を教えてもらえますか？

あるいは、モバイルアプリケーションの場合、「仲介者」として機能する独自の内部Webサービスをホストする方がよいでしょう。繰り返しになりますが、この例をいただければ幸いです。

ありがとうDavid

WPFアプリケーションを介してSharePointOnlineインスタンスに接続しようとしています。考えられる解決策を説明するこの記事を見つけましたが、問題は、特定のインスタンスの前にActive Directoryフェデレーションサービス（ADFS）があり、認証トークンを取得する方法がわからないことです。（アプリケーションに対してadfsに対して認証するための証明書を作成できません。）

すでにこれを行っており、いくつかのコードスニペットで私をサポートできる人はいますか？

ファイアウォールの背後にある REST Web サービスのリバース プロキシを実装する必要があります。リバース プロキシは、できれば .net 4.5 のクレームを使用して、エンタープライズ ADFS 2.0 サーバーに対して認証する必要があります。クライアントは、iOS、Android、および Web の組み合わせになります。私はこのトピックにまったく慣れていません。WebApi、WIF、および VS 2012 の新しい ID とアクセス コントロールを使用してサービスを REST サービスとして実装しようとしましたが、うまくいきませんでした。Brock Allen の Thinktecture.IdentityModel.45 も調べてみましたが、頭が回転していたので、ID とアクセス制御を使用した Windows Identity Foundation との違いがわかりませんでした。

ですから、一歩下がって、これを行う方法についてアドバイスを得る必要があると思います。私が理解している限り、これにはいくつかの方法があります。

1. ハードウェアで。Citrix Netscaler をリバース プロキシとして設定します。どうすればいいのかわかりませんが、それが良い解決策である場合は、いつでも知っている人を雇うことができます...</li>
2. IIS などの Web サーバーで実行します。私は試していません。それが機能するかどうかわかりません。
3. それを行うための Web サービスを作成します。3.1 WCF を使用して SOAP サービスとして実装します。私が理解しているように、ADFS は REST をサポートしていないため、SOAP を使用する必要があります。問題は、モバイル デバイスが SOAP を好まないことです。私もそうです。しかし、それが最善の方法である場合は、私はそれを実行する必要があります。3.2 Azure アクセス制御サービスを使用します。うまくいくかもしれませんが、タイミングが良くありません。私たちの企業はいくつかのクラウド オプションを検討しており、自分たちで Azure ワゴンに飛び乗ることは、現時点で最も賢明なことではないかもしれません。ただし、それが唯一のオプションである場合は、実行できます。今は使わないほうがいいと思います。

現在、選択肢が多すぎて、どれがうまくいくかわかりません。誰かが私を正しい方向に向けることができれば、私は非常に感謝しています。

ADFS サーバーを構成しており、証明書利用者アプリケーションのユーザー フレンドリーなサインオンを実現しようとしています。

現在、私が知る限り、2 つの関連するオプションがあります。

• Windows 認証: これはシングル サインオン プロバイダーとしてはうまく機能しますが、ユーザーが現在正しい Windows ドメインにいない場合、ユーザーにとって使いにくいポップアップが表示されます。
• フォーム認証: これは、ユーザーがどこから来ているかに関係なく、常にログイン方法を要求します。

ここでの私の質問は、これらの要件を満たすことは可能ですか?

• ユーザーが Windows アカウントでログインしている場合は、SSO を提供します。
• それ以外の場合は、フォーム ログイン ページを表示し、ユーザーに Windows 資格情報を入力させます。

私たちのチェーンは次のようになります。

WIF を使用した ASP.NET アプリ -> ADFS -> および場合によっては Azure ACS -> Facebook、Google など。

ロールなどを使用して AD で構成されたユーザーがいます。これらのユーザーは、ADFS を介して AD にログオンし、通常どおりロールを取得できます。

必要に応じて、ACS プロバイダーの 1 つにログオンでき、ACS プロバイダーの一意の ID を AD に格納するユース ケースがあります。複数のプロバイダーを使用している場合、複数のマッピングがあります。

したがって、ACS 経由でログインするユーザーを AD の「実際の」ID にマップできます。

私たちが戦っているのは、ACS 経由でログインするユーザーにクレームの完全なセットを配信する方法です。通常、名前、メール アドレス、一意の ID だけを取得します。

一意の ID を使用して AD を検索できるクレーム ルールはありますか? このルールでは、AD で正しい一意の ID を使用するために、使用したプロバイダーを確立する必要があります。

アプリケーションから AD を照会することはできると思いますが、それは、そのようなすべてのアプリケーションにコードを追加する必要があるということですか?

カスタム STS でも変換できるのでしょうか?

アイデア、良いリンク、記事などはありますか?

asp.net Web アプリケーションがあり、ユーザーがイントラネット経由で Web サイトにアクセスした場合、ドメイン資格情報 (Windows プリンシパル) を使用して「自動ログイン」をサポートする必要があります。または、HTTPS 経由で外部ネットワーク経由でアクセスした場合、ドメイン資格情報の入力をユーザーに求めます。

問題は、この Web サーバー (Windows サーバー 2008) がワークグループ マシンであり、DMZ にあることです。ドメイン資格情報 SSO (内部と外部の両方) とイントラネット ドメイン ユーザーの自動サインインの両方をサポートできるかどうかにかかわらず、限られた時間内にこれを実現するために、AD LDS + AD FS について調査するように言われました。

関連するドキュメントやフォーラムでのディスカッションを読んで、このセットアップで SSO が可能であることは理解していますが、この環境での「自動署名」イントラネット ドメイン ユーザーについて言及している関連資料を見つけることができません。

可能であれば、または別のアプローチがある場合は、誰でもアドバイスをお願いします。主なことは、既存の Web サーバーをドメインに参加させないようにすることです。

どうもありがとう

Sitecore (6.4) ソリューションで ADFS を使用してユーザーを検証したいと考えています。DMZ に ADFS プロキシがあり、会社のドメインに ADFS サーバーがあり、Sitecore ソリューションは別の場所でホストされています。

Sitecore が完全にクレームを認識している (つまり、Windows ログオン セッションを必要とせずにフェデレーション クレームを使用できる) 場合、この基本的なインフラストラクチャで十分であると言われています。

Sitecore が完全にクレームを認識していない場合は、Sitecore ホストでドメイン コントローラーとフェデレーション サーバーを使用して、外部ドメインを確立する必要があります。

では、Sitecore はクレームを完全に認識していますか?