問題タブ [azure-acs]

Azure ACS を使用するように構成された 1 つの Web サイトがあります。ユーザーがこの Web サイトにサインインするとき、ユーザーが私の Web サイトの別の Web サイトにアクセスしたときにユーザー ID をどのように取得すれば、ユーザーは ACS で ID プロバイダーを選択してサインインする必要がなくなりますか? 複数の Web サイトで ACS からユーザー ID を取得して、ユーザーが Web サイトの 1 つにログインすると、他の ACS 構成 Web サイトにアクセスしたときにログイン ユーザーとして認識されるようにする方法はありますか? ところで、ID プロバイダーとして Azure ACS の 4 つのソーシャル ネットワーキング サイトすべてを使用しています。

サンプルの 'Windows Azure クラウド サービス' プロジェクトを Visual Studio 2010 で作成し、WIF for .NET 4.0 を使用してこのアプリケーションの STS として AZURE ACS を構成しました。その後、このアプリケーションを Windows Azure クラウド サービスにデプロイしました。Windows Live ID、Yahoo (初期状態)、および SiteMinder 12.51 を ID プロバイダーとして構成しました。これで、Yahoo および Windows Live ID ID プロバイダーを使用してアプリケーションにログインできるようになりました。

ACS (Windows azure クラウド サービス アプリケーション) の RP は、SAML 2.0 トークンを受け入れます。Azure ACS と SiteMinder 12.51 の間に WS-FED SAML 2.0 フェデレーションを構成しました。ACS でのトークン暗号化、復号化、および署名の有効な証明書を持っています。MetaData インポートと ACS レルムを使用して SiteMinder IDP を構成し、正しいエンティティ URL を表示しました。SiteMinder を介して (ACS の IDP として) アプリケーションにログインしているときに、以下のエラーが発生します。

リクエストの処理中にエラーが発生しました。

ここでは、例外の「内部メッセージ」が表示されません。私の場合、考えられるすべての原因は何ですか? ACS で内部メッセージを有効にする方法を教えてください。誰かがこの問題について私を助けてくれれば、私は大いに感謝します。

ありがとう、マヘシュ

ACS を使用して、Windows Live、Facebook、および Google を使用する Web アプリケーションに正常にログインしています。

以下のように、Google は確認メッセージにサービスの名前空間を含めます。

これは正しい動作だと思います。なぜなら、ユーザーとして、何がクレームを求めているのかを知りたいからです。Windows Live には何も表示されず、Facebook はセットアップされたアプリケーション名を使用します。

明らかにユーザーにとって、Google の厳格さを見て混乱する可能性があります。あなたはmydomain.comから来て、 myfunnynamespace.accesscontrol.windows.netを承認しています。

ユーザーにとってより意味のある情報を Google に渡す方法はありますか? Google が探している URL を変更することはできません。しかし、ACS はアプリケーション名などの追加情報を渡すことができますか? または、Facebook のように「アプリ」を作成できますか?

新しい JWT ハンドラー ライブラリ (System.IdentityModel.Tokens.Jwt) のバージョン 1.0.0 を ASP.NET MVC 4 アプリケーションに統合して、ACS から Azure の JWT トークンを処理するにはどうすればよいですか?

アプリケーションを実行しようとすると、次のエラーが表示されます。

[SecurityTokenValidationException: Jwt10329: 署名を検証できません。Configuration.IssuerTokenResolver.ResolveToken が null を返しました。jwt.Header.SigningKeyIdentifier: 'SecurityKeyIdentifier (IsReadOnly = False、カウント = 2、条項 [0] = X509ThumbprintKeyIdentifierClause (ハッシュ = 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX)、条項 [1] = System.IdentityModel.Tokens.NamedKeySecurityKeyIdentifierClause ) '.] System.IdentityModel.Tokens .JwtSecurityTokenHandler.ValidateSignature(JwtSecurityToken jwt) +1275
System.IdentityModel.Tokens.JwtSecurityTokenHandler.ValidateToken(JwtSecurityToken jwt) +113
System.IdentityModel.Tokens.JwtSecurityTokenHandler.ValidateToken(SecurityToken トークン) +339
System.IdentityModel.Tokens.SecurityTokenHandlerCollection.ValidateToken(SecurityToken トークン)
+73 System.IdentityModel.Services.TokenReceiver.AuthenticateToken(SecurityToken トークン、ブール値の ensureBearerToken、文字列 endpointUri) +120
System.IdentityModel.Services.WSFederationAuthenticationModule.SignInWithResponseMessage(HttpRequestBase リクエスト) + 493
System.IdentityModel.Services.WSFederationAuthenticationModule.OnAuthenticateRequest(オブジェクト送信者、EventArgs 引数) +364
System.Web.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +136 System.Web.HttpApplication.ExecuteStep(IExecutionStep ステップ、ブール値&完了同期) +69

私のweb.configは次のように構成されています：

JWT トークンを返すように Azure ACS をセットアップし、web.config に正しいセキュリティ サムネイルを設定しましたが、このエラーが発生する理由がわかりません。洞察はありますか？

Azure ACS を使用した SSO シナリオで、SAML トークンの代わりに JWT トークンを使用して評価しています。JWT は SAML よりも軽量であると宣伝されていますが、その主張を評価する方法がわかりません。トークンは FedAuth および FedAuth1 Cookie を介して渡されると想定していますが、私のテストでは、Cookie のサイズは両方のトークン間で一貫しています。どちらかといえば、JWT を使用する場合、Cookie はわずかに大きくなります。

私の使用法は、トラフィックが少ない ASP.NET と WebAPI の両方です。

Asp.net を使用すると、sts を追加して、Claims からユーザー情報を取得できます。

しかし、現在は winform アプリケーションを使用しているため、プロジェクトに STS 参照を追加できません。ユーザーが Google アカウントでアプリにログインできるようにする必要があります。

コード ビハインドで SWT トークンを取得できます。しかし、この SWT を使用してユーザー アカウント情報を取得する方法がわかりません。どんな体も助けてくれますか? どうもありがとう！

アプリでユーザー名/パスワードを使用する際のセキュリティ リスクを回避し、認証を簡素化するために、Windows Azure アクセス コントロールを使用しようとしています。ただし、これは、ユーザーを「事前認証」したい中規模または大規模の企業が使用できるサイトです。つまり、ユーザーが Azure ACS を介してサインインする前に、ユーザーの Windows Live ID を入力してユーザーを一括作成し、アカウントを自動的に作成したい場合があります。アカウントを作成するための 1 回限りのページへのリンクを記載したメールをそのユーザーに送信することで、これを実現できますが、もう少しシームレスなことをしたいと考えています。

私がやろうとしているのは、Team Foundation Service (*.visualstudio.com) を使用して、Windows Live ID を入力するだけでユーザーをチーム プロジェクトに追加できるようにする方法と同じです。一度入力すると、ユーザーはログインしてプロジェクトにアクセスできます。 、そのユーザーが以前に TFS にサインインしたことがない場合でも。

私が理解していないのは、ACS と System.IdentityModel を使用してそれを行う方法です。nameidentifier クレームを使用してユーザーを一意に識別できますが、特定のプロバイダーを介して別のユーザーの nameidentifier を取得するにはどうすればよいですか?

説明が下手で申し訳ありませんが、お気軽にご質問ください。

MVC では、これら 2 つの違いは何ですか?

それらは同一に見え、同じタイプ/クラスを返しSystem.Web.Security.RolePrincipalますが、微妙な点があります。

例えば。次のコードは、ClaimsPrincipal.Current によって生成されたインスタンスに対して呼び出されると、さまざまなエラーをスローします。

上記は、代わりに cp が次の場合に機能します。

クイック ウォッチを使用してプライベート メンバーにドリルダウンすると、両方が同じ Claim ディクショナリを持っていることがわかります。ただし、何らかの理由で、返されたオブジェクトに対して呼び出されると、パブリック プロパティが吹き飛ばされます。ClaimsPrincipal.Current

ヘルプ - なぜこれが!? これは私を夢中にさせています。

=============編集==================

そろそろ寝る時間に違いない。

IPrincipal は複数の ID をサポートしています。なんらかのストアが必要です。IIdentity は ClaimsIdentity のインスタンスを返し、ストアを必要としません。

私は単に間違ったプロパティを掘り下げていました。それらの2つは、形状がほぼ同じです。同じプロパティとメソッドで、私はそれらを混乱させました。