問題タブ [azure-acs]

Azure SQL レポートを使用して、Azure でホストしているアプリケーションに関するレポートを Azure SQL データベース バックエンドで提供できるかどうかを判断しようとしています。

理想的には、ユーザーが独自のレポートを作成できるようにしたいと考えています。これを行うには、彼らが関連付けられている組織に適用されるデータのサブセットを彼らに公開する必要があります。

ユーザー ID は、Azure ACS を介してフェデレーション プロバイダーから取得されます。

公開されたデータをカスタマイズし、ユーザーがアクセスできるサブセットのみを提供するにはどうすればよいですか?

Azure ACS から戻ると、FormCollection 内のフェデレーション認証結果を取得します。必要な情報を含む値は、「wresult」と呼ばれる暗号化された値の中にあります。この値を解読してさらなる認証に使用するのに問題があります。

Cookie の設定を承認しないため、WSFederationAuthenticationModule を使用したくありません。モジュールが使用されると、Federated-Authenticationtype で auth-cookies が自動的に設定されます。

代わりに、wresult に含まれるクレームを取得し、独自のセキュリティ トークン (JWT、SAML 2.0 など) を設定したいと考えています。

これまでに見つけた唯一の回避策は、FAModule を使用し、セッション トークン Cookie をすぐに削除することです。ただし、これにより、応答で auth-cookies が値とともに 2 回設定され、すぐに設定が解除されます。

最終的に達成したいことは次のとおりです。フォーム サイトで認証するか、Azure ACS の任意の ID プロバイダーを使用して認証する可能性を提供します。フォーム認証を使用すると、ユーザー名とパスワードをすぐに比較して、セキュリティ トークンに必要なクレームを設定できます。しかし、Azure ACS を使用する場合は、最初に取得した nameidentifier をデータベースに保存されている値と比較してから、WS フェデレーションの代わりにカスタム セキュリティ トークンを設定したいと考えています。または、nameidentifier が不明な場合は、ユーザーが自分の資格情報でこの nameidentifier を認証できるフォーム ページにリダイレクトしたいと考えています。Azure ACS の戻り値を認証済みとして計算したくありません。

現在、ACS でアクティブ認証を使用する WCF サービスがいくつかあります。これらは現在、次のように使用されています。

• ユーザー呼び出し - ユーザーは、POST 要求でカスタム メッセージ形式のユーザー名とパスワードを使用して、従来の API を呼び出します。
• 次に API は、要求でこのユーザー名とパスワードを提供する他の WCF サービスを呼び出し、サービスが必要とするトークンを取得するために ACS で認証します。

以下を実装したいと思います。

• ユーザーは、POST リクエストでカスタム メッセージ形式のユーザー名とパスワードを使用して、従来の API を呼び出します。
• API でユーザー名とパスワードを削除し、これらをサービス ID の資格情報として使用して ACS に接続し、応答で SAML トークンを取得します。
• 次に、API は WCF サービスを呼び出して、この SAML トークンを要求で提供します。

これを達成するために何をする必要があるかを読んでいますが、私が読んだサンプル/例のほとんどは、 Azure ACSサービスからSWT トークンを取得し、SAML トークンを取得しないことについて話しています。

これは古いものであり、ACS 2.0 でも同様の方法で SAML トークンを取得できるためでしょうか?

または、これはサポートされていませんか? （おそらく、WCFがそれを達成するのと同じであるに違いありません）

誰もこれを行う方法の例を持っていますか?

Active DirectoryとSSO（シングルサインオン）は非常に初めてです。私は同じことについてほとんど知識がありません。

Azure環境でActiveDirectoryを使用してSSO操作を開始する方法についての情報が必要です。

現在、Azure Mobile Services でバックエンド システムを開発する "最善の" 方法は何ですか?

具体的には、どのようなツールが利用できますか? 私が見た限りでは、ほとんどの例は管理ポータルに移動し、スクリプト ウィンドウに数行を手動で追加するだけです。これは、メモ帳だけを使用するよりも悪く、バージョン管理の概念がありません...

Azure Mobile サービスで実行されるすべての Node.js コードを含むプロジェクトを VS 2012 で作成する方法はありますか? モバイル サービスを模倣するローカル開発環境でそのコードを完全に実行する方法はありますか?

私が見つけたほとんどのモバイル サービスのサンプルやドキュメントに示されているよりもはるかに複雑なサーバー側コードが必要です。

バックエンド データベースから比較的複雑なデータ構造に対して認証し、アクセスする必要がある Web サイトと Win 8 ストア アプリがあります。現在プッシュされているソリューションはすべて、生のテーブルに対して単純な REST を使用して、その中心にモバイル サービスが含まれているように見えますが、すべての例は単純すぎて役に立ちません。

Mobile Services を使用した "実際の" サンプルと、Visual Studio のツールを使用してそのようなシステムを開発およびテストする "成熟した" 方法を教えてもらえますか?

ありがとう。

webapiRESTベースのサイトからデータを取得するモバイルアプリケーションを作成しようとしています。

サイトはACSを介して保護する必要があります（複数のIDプロバイダーが存在する可能性があるため）。

私のモバイルアプリは現在、次のURLhttps ://xx.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=javascriptnotify & realm=http://xx.azurewebsites.net/&version=1.0をクエリしてリストを取得していますIPの。

次に、ユーザーがIPを選択できるようにし、Webブラウザーコントロールを使用してログインを表示します。

ユーザーがログインしたら、応答をキャプチャしてトークンを抽出しますが、今は何をすべきかよくわかりません。トークンは次のようになります：-

だから、私はsecurityTokenの部分を取り、getリクエストにAuthorizationヘッダーの一部を追加する必要があると思いますか？

質問1は、トークンをどのように添付する必要があるかです。セキュリティトークンビットを添付するだけですか、それともロットをbase 64エンコードして、Authorizationヘッダーとして再度添付する必要がありますか？

質問2JWTを処理するようにwebapiを構成するにはどうすればよいですか？ACSを変更してJWTトークンを発行し、JWTSecurityTokenHandlerをインストールした後も、次のエラーが発生します（これはパッシブ認証の場合です）。

ありがとう

ロス

Office 365 でプロビジョニングされた SharePoint 2013 Web アプリケーションで動作する複数の ID プロバイダー (Google、Facebook、複数の ADFS) を取得しようとしています。

ADFS と Shibboleth に関連するオプションについては知っていますが、この Web アプリの認証を Azure ACS で処理する方法があるかどうか疑問に思っています。Azure ACS で動作するオンプレミスの SharePoint 2013 Web アプリケーションがありますが、Office 365 で同じことを行う方法や、それが可能かどうかについての情報はあまりありません。

開発ファブリックでローカルに実行するときに認証できるように Azure ACS を構成する最良の方法は何ですか?

一度構成して、ローカルで開発し、構成を変更せずに Azure に公開できるようにしたいだけです。何らかの方法で主張を偽造できる限り、ローカルで開発するときに Federated Auth を使用しないことにもオープンです。

Azure AD を OAuth 認証プロバイダーとして使用しようとしています。テスト用にasp.net Webアプリケーションを作成し、Azure ADにアプリケーションを登録しました。

承認エンドポイントへの Web 要求を作成した Web サイトから、要求は問題なく送信され、資格情報を求められます。ユーザーとパスワードを入力した後、常に次のエラーが発生します。

リクエストの処理中にエラーが発生しました。

HTTP エラー コード:

400

メッセージ：

ACS50000: トークンの発行中にエラーが発生しました。

内部メッセージ:

ACS90027: 複数のプリンシパルが「ccf87be2-5370-4232-8453-0cadd770e3fe」識別子と一致します。

トレース ID:

0a79ca43-41c8-4e91-95ee-acb25cfd6053

相関 ID:

e1396b28-868f-4e60-9a7d-9822f3b9d753

私の要求は大丈夫だと思いますが、何が起こっているのかわかりません。その識別子で登録されているアプリケーションは 1 つしかないはずです。これが私のリクエストです (テスト目的で get を使用しています):

https://login.windows.net/[subscriptionid]/oauth2/authorize?resource=http://localhost&client_id=ccf87be2-5370-4232-8453-0cadd770e3fe&state=Windows%20Azure%20Active%20Directory&response_type=code&scope=http://ローカルホスト

更新しました

Get-MsolServicePrincipal を使用してコマンドレットをダウンロードしました。これは私が見るものです。重複したプリンシパルはありません。

ExtensionData: System.Runtime.Serialization.ExtensionDataObject AccountEnabled: True アドレス: {} AppPrincipalId: 00000002-0000-0000-c000-000000000000 DisplayName: Microsoft.Azure.ActiveDirectory ObjectId: 951bd0e5-23af-48e9-bda3-31ccce6a1a45 ServicePrincipalNames: { https //graph.windows.net、00000002-0000-0000-c000-000000000000、Microsoft.Azure.ActiveDirectory、00000002-0000-0000-c00 0-000000000000/graph.windows.net...} TrustedForDelegation : False

ExtensionData: System.Runtime.Serialization.ExtensionDataObject AccountEnabled: False アドレス: {} AppPrincipalId: 00000010-0000-0000-c000-000000000000 TrustedForDelegation : True

ExtensionData: System.Runtime.Serialization.ExtensionDataObject AccountEnabled: True Addresses: {} AppPrincipalId: 0000000c-0000-0000-c000-000000000000 DisplayName: Microsoft.Azure.ActiveDirectoryUX ObjectId: feb2afcf-e82c-4d30-b0b8-7bd875c4bd94 ServicePrincipal0s 0 {} TrustedForDelegation : True

ExtensionData : System.Runtime.Serialization.ExtensionDataObject AccountEnabled : True Addresses : {} AppPrincipalId : 0000000f-0000-0000-c000-000000000000 0000-0000-c000-000000000000、Microsoft.Azure.GraphExplorer、0000000f-0000-0000-c000-000000000000/graphexplorer.windows.net} TrustedForDelegation : True

ExtensionData: System.Runtime.Serialization.ExtensionDataObject AccountEnabled: False アドレス: {} AppPrincipalId: 00000013-0000-0000-c000-000000000000 0000-0000-c000-000000000000、Microsoft.Azure.Portal、00000013-0000-0000-c000-0000000 00000/manage.windowsazure.net} TrustedForDelegation : True

ExtensionData: System.Runtime.Serialization.ExtensionDataObject AccountEnabled: True アドレス: {Microsoft.Online.Administration.RedirectUri} AppPrincipalId: ccf87be2-5370-4232-8453-0cadd770e3fe DisplayName: Api ObjectId: 570c934e-4215-4f09-a907-3bd355390s80d ServicePrincipal { http://api.dnndev.me/ , ccf87be2-5370-4232-8453-0cadd770e3fe} TrustedForDelegation : False

ExtensionData: System.Runtime.Serialization.ExtensionDataObject AccountEnabled: True アドレス: {Microsoft.Online.Administration.RedirectUri} AppPrincipalId: a51f0618-a534-4f95-955e-d1ed7802bc69 DisplayName: プルエバス ObjectId: d5d4c74e-0212-49de-9bc2-928b630058 { http://pruebas.dnndev.me、a51f0618-a534-4f95-955e-d1ed7802bc69 }

ありがとう！

Microsoft MVC4 Web Api を使用して作成され、WS-Fed を使用して WIF と Windows Azure Active Directory (WAAD) を使用して保護された多数の Web サービスがあります。

これらの Web API にアクセスする必要がある純粋な HTML5/Javascript シングル ページ アプリケーション (SPA) クライアントもあります。

WAAD とのやり取りを処理するための Javascript の既知のサンプル/ライブラリはありますか?

• ユーザーがすでにログインしているかどうかを確認します。
• ユーザーにログインし、必要に応じてセキュリティ トークンを取得します
• 対話が終了したらログアウトします。

そうでない場合、そのようなものを実装するために必要なドキュメントへの推奨リンクはありますか。