問題タブ [claims-based-identity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - パッシブSTSの依拠当事者における必須/オプションのクレームタイプの指定
クレーム値の認証と取得にパッシブSTSを使用するasp.netアプリケーション(証明書利用者)があります。証明書利用者は、FederatedAuthenticationModule(FAM)を使用して、stsへのパッシブリダイレクトを有効にしています。InformationCardsを使用するときに必要なクレームを指定する方法に関するドキュメントを見つけましたが、FAMを使用してこれを構成する方法に関する詳細な情報をまだ見つけていません。
誰かがこれの例を持っていますか?私が見つけた最も近い例は、Geneva Frameworkのサンプルですが、アクティブなSTSとWCFを扱っていますが、これは適用されません。
前もって感謝します。
authorization - ADFS からジュネーブ フレームワークへの移行
私の会社はフェデレーション ID ソリューションを必要としており、マイクロソフト ショップとして、この目標を達成するために MS テクノロジを使用することを検討しています。
Server 2008 または .NET 3.5 は運用環境にないため、.NET 2.0/Server 2003 ベースのソリューションに限定されます。
これは、(フェデレーション ID ソリューションに関して) Active Directory フェデレーション サービスを意味します。
ADFS は WS-Federation 標準をサポートしているため、非常に優れているように見えます。つまり、Microsoft テクノロジを使用していないパートナーとフェデレーションできます。
残念なことに (私たちにとって)、Microsoft は .NET 3.5 ベースの ID フレームワークであるGeneva Frameworkのリリースを間近に控えています。
Geneva フレームワークは、あらゆる点で ADFS よりも優れているように見えます (ほとんどの場合、ADFS に追加の機能と標準サポートが追加されているためです)。
私たちは .NET 3.5 ショップではなく、Geneva はベータ版のみであるため、現時点では実行可能なオプションではありません。
私の質問は次のとおりです。ADFS からジュネーブに移行するのはどれほど難しいでしょうか?
ADFS の概念実証段階にあるので、ID ベースの承認から ADFS クレーム ベースに移行するために必要なコードの変更についてはまだ掘り下げていません。このロジックは、Geneva クレーム ベース認証をサポートするように更新できるアセンブリに組み込むことができると確信しています。
必要なコードの変更に加えて、クレーム ベースのインフラストラクチャを ADFS から Geneva に移行するのはどれほど難しいでしょうか? (例: ADFS の STS (Federation Service) から Geneva の STS (Geneva Server) への移行)
このトピックに関するご意見をお寄せいただきありがとうございます。
federated-identity - ジュネーブ フレームワークにおける RP-STS の単純なクレーム変換
Microsoft Geneva Framework を使用したカスタム STS の実装に関する MSDN の記事 ( http://msdn.microsoft.com/en-us/magazine/2009.01.genevests.aspx ) を読んだ後、そこで取り上げられているシナリオの 1 つについて少し戸惑いました。 . このシナリオは、上記の参照記事の図 13 に示されています。
私の質問は、IP-STS から既に取得したクレームを渡すために、RP が RP-STS への呼び出しを開始する方法についてです。目的のメソッド DeleteOrder() は、RP-STS からの Action クレームの Claim Request にどのように変換されますか? RP-STS は、呼び出しを承認する値 Delete を持つ Action クレームで応答しますか? また、RP-STS とポリシー エンジンの間の相互作用では、クレームと矢印が逆になるはずであるという点で、この図は少し間違っていると思います。
構造はわかりますが、Geneva/WCF によって提供されているものと、RP 内のコードで何を実行する必要があるかが明確ではありません。これは、削除の PrincipalPermission 要求で DeleteOrder メソッドを保護できなかったため、少し奇妙に思えます。許可」ですが、最初に役割を要求し、その後、削除アクションのきめ細かい要求を取得する必要があります。
要点を見逃していた場合は (Web 上でこのケースを簡単にカバーすることができないため)、申し訳ありません。
前もって感謝します。
wcf - Geneva Server STS
私の要件は、ユーザーに割り当てられたクレームが会社を認識していることです。たとえば、ユーザー1は会社1のプロダクトマネージャーの発行者ですが、同じユーザーは会社Bの編集者のみです。これはGeneva Server、または追加のコードが必要な場合に実現できますかクラスをオーバーライドするために作成されます。
sql-server - ジュネーブでの SQL アカウント ストアの使用
ジュネーブは、顧客から提示された複雑な認証および SSO の問題を解決できる可能性があるため、非常に熱く、悩まされています。Geneva がカスタムおよび SQL ベースの属性ストアをサポートしていることを理解しています。ただし、カスタムおよび SQL ベースのアカウントストアのサポートが必要です。
残念ながら、ベータ 2 でサポートされていないことを除いて、リリース時にサポートされるという確固たる確認または否定 (23 ページ) を見つけることができません。これはそうなることを願っていますが、もっとよく知っておく必要があります。
質問: この問題を最終的に解決できる人はいますか?
wcf - クレーム対応 Web サービス上の MVVM
現在直面している課題について、何らかの意見を求めています。
私のシステムが提供するいくつかの WCF サービスを呼び出したいユーザーを識別するために使用するカスタム WIF STS を作成しました。WCF サービスは、呼び出し元が特定のサービスを呼び出すために必要なクレームを持っているかどうかを判断するカスタム承認マネージャーを使用します。
今、私はWPFアプリを構築しています。これらの WCF サービスの上に。ビュー モデルが保護された WCF サービス (モデルを実装する) を呼び出すように、MVVM パターンを使用しています。私が直面している課題は、現在のユーザーが Web サービス メソッドを実際に呼び出さずに正常に呼び出すことができるかどうかわからないことです。基本的に、私が達成したいのは、メソッドを正常に呼び出す機能に基づいて、UI の特定の部分を有効/無効にすることです。
これまでに思いついた最善の解決策は、カスタム承認ポリシー マネージャーと同じビジネス ロジックに基づいて、ユーザーが特定のメソッドを呼び出すことができるかどうかを判断できるサービスを作成することです。ここで、メソッドはこのサービスに文字列、または実際には ServiceAddress と Method (Action) の 2 つの文字列として渡す必要があり、その入力に基づいて、サービスは現在のユーザーがアクセスに必要なクレームを持っているかどうかを判断できます。メソッド。明らかに、これが機能するためには、このサービス自体が同じ STS から発行されたトークンを要求し、同じクレームを使用して、その仕事を行う必要があります。
過去に似たようなことをした人はいますか、それともこれを行う方法について何か良いアイデアはありますか?
前もって感謝します、
クラウス
wif - Geneva フレームワークを使用したカスタム クレームと、アプリ内でユーザーを「同期」する方法
この質問は、私がクレーム アイデンティティ管理についてほとんど知らないことを示しているのかもしれませんが、ここで説明します。
ID にサード パーティの STS を使用し、承認にカスタム クレームを使用するアプリケーション内で WIF を使用する場合 ( CanCreateFooBar のようなアプリケーションに関連する固有のもの)
1) ユーザーを管理するにはどうすればよいですか? つまり、AD やその他のメンバーシップ プロバイダーからのユーザーは特定できますが、内部的に私のシステムでは、それらについて知る必要があり、ID とは関係のないより多くのユーザー情報が必要です (したがって、この情報を利用できるようにすることは本当に意味がありません)。
問題は、システム データ (ID から開始) をスマートな方法で管理および作成するにはどうすればよいかということです。
私が考えている正確なシナリオは、新しい従業員が会社に追加され、システム管理者が特定の役割を持つドメインのユーザーを作成することです。私のシステムはどのようにしてこの事実を認識することができますか? (私はおそらく、システムの管理者にアクションを求めるようにシステムに促したいと思います。
2) これらのユーザーとロールの要求値はどこに保存されていますか? また、それらを変更するにはどうすればよいですか? 理想的には、特定のユーザーとアクションの権限を変更できるようにしたいと考えています。これに関するガイドラインはありますか?
これらはおそらく非常に不十分な質問であることがわかりますが、問題を解決する方法について考えると、複雑な解決策や、多くの重複を必要とする解決策 (つまり、2 つの場所で使用されるものを作成する) を思い付くので、私は確信しています。この問題について正しい方法で考えていないだけです
ありがとう