問題タブ [adfs]

既存の AD ユーザーを使用して Ruby on Rails アプリで認証することは可能ですか? もう少し正確に言うと、これが現在の状況です。

Rails アプリは Linux ボックスでホストされています。現在、Brightbox がホスティング プロバイダーとして使用されています。Railsアプリにはユーザー認証が組み込まれているだけで、接続されたADユーザーをアプリに認識させる方法がわかりません。

現在、何百人もの Active Directory ユーザーを抱えるかなり大きな顧客がいます。明らかに、ユーザーごとに Rails アプリ アカウントを作成せずにユーザーをログインさせたいと考えています。既知のすべての ID プロバイダー (OpenId、Google、Facebook など) に代わるものはありません。

このようなことをしていることがわかった唯一のものは、MicrosoftのADFS2です。しかし、レールの世界ではあまり使えないようです。しかし、それはまさに必要です。外部 AD ユーザーを信頼するために、AD とアプリの間に信頼を確立する方法。

何か案は？

ADFS 2 からの認証トークンを受け入れる IIS 7 上の ASP.NET アプリケーションがあります。これを行うために、アプリケーションで Windows Identity Foundation を使用しました。

同じ IIS に、Microsoft Office ユーザーがファイルを保存する WEBDAV 対応のフォルダーがあります。これは、Windows 認証を使用するイントラネットで正常に機能します。これには、アプリケーション コードはまったく含まれません。

ADFS も使用して、WebDav フォルダーへのアクセスをセキュリティで保護したいと考えています。しかし、IIS は WEBDAV を処理するため、ADFS 認証を追加できるアプリケーションがありません。

2 つの質問:

• ADFS 認証用に IIS で WEBDAV をセットアップする方法を教えてください。
• Word および Excel 2007 は ADFS との対話を処理しますか?

ACSサンプル4（ http://claimsid.codeplex.com/から）をADFSプロジェクトのテンプレートとして使用しようとしています。ADFS認証済みサービスへのパッシブリクエストには問題はありません。サンプルでは、​​フェデレーションプロバイダーはカスタムSTSであり、サンプルは正常に機能します。

ここで、カスタムフェデレーションプロバイダー（サンプルのAdatum FP）を独自のADFSに置き換えたいと思います。

現在の設定は次のとおりです（名前空間は非表示）

• ServiceClient：コンソールアプリケーション、サービスを呼び出します
• サービス：WCF Webサービス、文字列を返す単一のメソッド。これはデフォルトです[サンプルのOrdertracking.Services]
• Services.Authentication：カスタムIDプロバイダー。これはデフォルトです[サンプルのLitware.SimulatedIssuer]
• ADFS：フェデレーションプロバイダー[例ではFederationProvider.Adatum]

ServiceClientはServicesを呼び出したいと考えており、構成からIP（Services.Authentication）からトークンを取得する必要があることを認識しています。次に、トークンはADFSに渡され、ADFSはトークンを検証して、新しいトークンをServiceClientに送り返します。newクライアントはFPトークンをサービスに渡し、サービス（ADFSの依存側）はトークンをADFSに対して検証し、サービスメソッドを実行します。

問題：

例のSTSをADFSに置き換えると、統合が壊れているようです。IPからトークンを正しく取得しているようですが、IPトークンをADFSに渡すときに問題が発生しています。オーディエンスURIに問題があるようですが、追加しました

https：//'adfs fqdn' / adfs / services / Trust / 13 / IssuedTokenMixedSymmetricBasic256

クライアント例外 このInnerExceptionInnerException{"ID3242：セキュリティトークンを認証または承認できませんでした。"}を使用して、クライアントでMessageSecurityExceptionを取得します。

ADFSデバッグログ

IPWeb.configにオーディエンスURIを追加しました。

必要に応じて、追加の構成ファイルとADFS構成のスクリーンショットを投稿できます。

私は、多数の Web アプリケーション用のシングル サインオン プラットフォームの設計に携わっていました。これらの Web アプリケーションは SAML 1.1 を理解します。一方、ID プロバイダーは SAML 2.0 仕様で動作します。ここで私のクエリは ADFS (Active Directory Federation Service) です。これは Web アプリケーションと ID プロバイダーの間に位置する優れたプラットフォームであり、SAML 2.0 を SAML 1.1 に変換することもでき、認証の成功/失敗に基づいて独自のビジネス ルールをプラグインすることもできます。また、誰かが同様の要件に基づいて例を参照できる場合。

始める前に、お客様が CRM 2011 を使用できるようにするには、AFDS を介して接続する必要があります。つまり、「IFD」環境について話しているのです。

「CRM 2011 Outlook クライアント」と「Window.Open(…)」-JS 関数の使用時に問題が発生しています。彼らが CRM 2011 のボタンを押すと、ASPX ページが起動し、電子メールに添付された処理を実行します。その後、連絡先が正常に作成され、その後、その「連絡先」ページにリダイレクトされます。しかし、「CRM 2011」ページにリダイレクトするたびに、ユーザーは資格情報の入力を求められます。これは、「Window.Open(…)」が新しい「ブラウザ」画面で画面を開き、認証が失われるためです (Outlook クライアントから来たため)。

最初に ADFS 経由でログインする必要があるため、「Web」ベースの CRM 2011 を使用する場合、上記のシナリオは問題なく機能します。

上記の問題に遭遇し、これに対する優れた解決策を持っている人はいますか?

1. 「Window.Open(…)」を実行して「Outlook」画面にとどまる方法はありますか? 「CRM 2011 Outlook クライアント」で連絡先をダブルクリックする必要があるのと同じですか?
2. 「リダイレクト」を実行しているときに、ページに資格情報を自動的に付与して、ユーザー自身が資格情報を入力しなくてもページが開かれるようにする方法はありますか? SignInRequestMessage と FederatedAuthentication について読んだことがありますが、これを行うための明確な例は示されていません。

皆さんが私を助けてくれることを願っています。私の側で、解決策が見つかったら、ここに戻ってきます！

敬具、フレデリック

これらは、Microsoftサービスでのシングルサインオンに使用される多数のテクノロジと流行語です。

ADFS、WIF、WSフェデレーション、SAML、およびSTS（セキュリティトークンサービス）について、それぞれがいつどこで使用されているかを含めて、誰かが説明できますか？

新しい MVC3 アプリケーションを作成し、その中で Uploadify プラグインを使用しました。それはうまくいきます。以下は私のコードです：

ファイルをアップロードする方法は次のとおりです。

ただし、ADFS を使用してフェデレーションされ、https を使用する別の MVC3 アプリケーションで同じコードを使用すると、常にエラー 2038 がスローされます。このエラーが発生する理由を知っている人はいますか? すべての構成設定を確認しました。これはセキュリティ上の問題ですか? これに関するヘルプは非常に高く評価されます。ありがとう！

私たちのサイトは認証にADFSを使用しています。すべてのリクエストでCookieのペイロードを減らすために、IsSessionModeをオンにしています（ダイエットでのfedauth Cookieを参照）。

負荷分散された環境でこれを機能させるために最後に行う必要があるのは、ファーム対応のSecurityTokenCacheを実装することです。実装は非常に簡単なようです。私は主に、SecurityTokenCacheKeyメソッドとTryGetAllEntriesメソッドおよびTryRemoveAllEntriesメソッドを処理するときに考慮すべき落とし穴があるかどうかを調べることに関心があります（SecurityTokenCacheKeyにはEqualsメソッドとGetHashCodeメソッドのカスタム実装があります）。

誰かがこれの例を持っていますか？AppFabricをバッキングストアとして使用することを計画していますが、データベーステーブル、Azureテーブルストレージなどの永続ストアを使用した例が役立ちます。

これが私が検索したいくつかの場所です：

• Hervey WilsonのPDC09セッションでは、DatabaseSecurityTokenCacheを使用します。彼のセッションのサンプルコードを見つけることができませんでした。
• VittorioBertocciの優れた本「ProgrammingWindowsIdentityFoundation」の192ページで、彼はAzure対応のSecurityTokenCacheのサンプル実装を本のWebサイトにアップロードすることに言及しています。私もこのサンプルを見つけることができませんでした。

ありがとう！

jd

2012年3月16日更新Vittorioのブログは、新しい.net4.5のものを使用したサンプルにリンクしています。

ClaimsAwareWebFarm このサンプルは、多くの皆さんから寄せられたフィードバックへの回答です。大きなCookieを交換する代わりに、参照によってセッションを使用できるように、（tokenreplycacheではなく）ファーム対応のセッションキャッシュを示すサンプルが必要でした。そして、あなたは農場でクッキーを保護するより簡単な方法を求めました。

AD FS 2.0 サインイン ページは、小さな ASP.NET Web アプリケーション (.NET 2.0 を使用) であり、カスタマイズしてルック アンド フィールと機能を変更できます。(このようなカスタマイズは、Microsoft によって明示的に文書化されています。サインイン ページのカスタマイズとそのサブページを参照してください。)

複数の「ホーム レルム」(=「クレーム プロバイダー信頼」) があり、AD FS 2.0 が (別の「認証ハンドラー」ではなく) フォーム サインインを使用するシナリオがあります。

ページHomeRealmDiscovery.aspxがヒットすると、そのページは何らかの方法で (ユーザーに尋ねるなどして) ホーム レルムを選択し、SelectHomeRealm()を呼び出す必要があります。これは通常、送信ボタンの ASP.NET イベント ハンドラーで行われます。その時点で、制御はFormsSignIn.aspxページに転送されます。

FormsSignIn ページで、HomeRealmDiscovery ページに入力された (AD FS に直接関係しない) データを使用したいと思います。ただし、そのデータにアクセスする方法はありません。

MSDN ページ「方法: ASP.NET Web ページがどのように呼び出されたかを確認する」では、制御がどのように転送されたかを調べる方法について説明しています。私の場合、FormsSignIn ページIsPostBackが false、PreviousPagenull、およびfalse であることがわかりましたIsCallback。(これもIsCrossPagePostBackfalse です。)したがって、MSDN ページは、FormsSignIn ページが「元の要求」を使用して呼び出されたことを示唆しています。しかし、そうではありません.Fiddlerなどを使用して、クライアントブラウザをリダイレクトしても制御が転送されないことを確認しているためです。したがって、これは「サーバー転送」であると予想されるためPreviousPage、HomeRealmDiscovery ページ インスタンスを取得するために使用できます。(Cookie を使用しようとしましたが、ブラウザーが転送に関与していないため、機能しません。)

したがって、私の質問は次のとおりです。AD FS 2.0 の HomeRealmDiscovery.aspx ページから FormsSignIn.aspx ページに値を渡すにはどうすればよいですか?

私はSSOとADFSを初めて使用するため、最初にこのガイドを実行しようとしました：ADFS2.0フェデレーションとWIFアプリケーションのステップバイステップガイド。このガイドは、単一のマシンを使用して実行することを示していますが、私は2つの別々のマシンでIDプロバイダー（IdP）とサービスプロバイダー（SP）を実行しています。最後のステップで、IdPが認証されたリクエストをSPのWebサイトにリダイレクトすることになっていたときに問題が発生しました。代わりに、HTTP 200 Okが返され、IdPWebサイトに残ります。ユースケース：ブラウザー（IE8）でSPページを要求すると、期待どおりにIdPにリダイレクトされます。Windowsアカウントのクレデンシャルを入力するポップアップウィンドウが表示されます。ただし、SP Webページに戻る代わりに、// adfsserver / adfs/lsフォルダーのコンテンツが表示されます。

Fiddlerによると、これはhttp認証の要求/応答がどのように見えるかです。

GET https：//adfsserver/adfs/ls/？wa = wsignin1.0＆wtrealm = https％3a％2f％2fymichurin％2fClaimsAwareWebAppWithManagedSTS％2f＆wctx = rm％3d0％26id％3dpassive％26ru％3d％252fClaimsAwareWebAppWithManagedSTS 11-23T21％3a59％3a56Z HTTP /1.1..。

HTTP / 1.1 200OK... これが//adfsserver/ adfs/lsフォルダーの内容です

何が悪いのか分かりますか？

このようなものが単一のマシンではなく、別々のマシンでどのように機能するかを示す同様のADFSガイドを知っている人はいますか？

ありがとう