問題タブ [claims-based-identity]

サーバー マシンに WCF サービスを展開しています。クレーム ベースの認証を使用して、WCF サービスの呼び出し元を認証しています。WCF サービスは、IIS 承認規則を使用して制限されます。

.NET を使用して WCF サービスをプログラムで呼び出すにはどうすればよいですか? クライアント アプリは、SVCUtil を使用して生成されたプロキシを使用します。サービスを呼び出すと、構成ファイル (app.config ファイルではなく、実際にはクライアント アプリケーションに *.config ファイルがありません) から資格情報が読み取られます。

SharePointサイトからファイルをダウンロードするためのコンソールアプリケーションがあります。SharePointサイトは、クレームベースの認証を使用します。

このコードは403Forbidden例外をスローします。指定されたネットワーククレデンシャルはサイトへのフルアクセス権を持ち、ブラウザから同じファイルをダウンロードできます。

これを修正する方法はありますか？

Azure でマルチテナント アプリケーションを構築しており、Claims (WIF) を使用する予定です。アプリケーションのユーザーにトークンを発行するために ADFS をホストしていません。

どのようなオプションがありますか? 利用可能な商用製品はありますか?

ありがとうございます。それでは、お元気で、

アジェイ

私は現在、自分のアプリケーションの 1 つでクレーム ベース認証 (Windows ID ファンデーションを使用) を使用したいプロジェクトに取り組んでいます。

唯一の問題は..私が開発したソリューションでは、Java ベースのアプリケーションへのクレーム ベースのアクセスを有効にする必要もあります。私は .net 開発者なので、Java でそのようなことを実装するためにどのようなテクノロジが利用できるかわかりません。

問題は、Java にはクレーム対応アプリケーションを構築するためのライブラリがあるかということです。

Windows ID Foundation や .net の ADFS 2.0 のようなものですか?

よろしくお願いします、エルウィン

ログインした SharePoint 2010 ユーザーのクレーム ベース認証を別の Asp.net アプリケーションと共有することはできますか?

次の記事では、Sharepoint 2007 とフォーム認証によるフォーム認証と共有マシン キーなどを使用してそれがどのように行われたかについて説明していますが、Sharepoint 2010 で現在使用されているクレーム認証を使用する外部アプリケーションに関する情報が見つかりませんか?

彼らが私のウェブサイトにアクセスした場合、私の所有権データへの無料アクセスを提供するビジネスモデルを楽しんでいると仮定します。これらのユーザーは、広告が費用を助成することになります。

次に、有料ユーザーに対して、インセンティブとしてデータへの直接の生のWCFアクセスを提供したいと思います。景品ユーザーがこれを利用できるようにしたくありませんが、同時にサイトはAJAXを使用してページコンテンツをレンダリングしています。

問題

現在のように、AJAXと生のWCFアクセスはネットワーク上で同一に見えます。トラフィックのソースが何であるか（Webページかどうか）を特定し、実装を悪用から保護する必要があります。

考えられる解決策は？

（ASP.net/Javascript内の）ページ変数を取得し、これを無料ユーザーに必要な検証キーとして使用できる場合があります。このキーをすべてのAJAXリクエストに含めることができます。これが最善の解決策である場合、サーバーからクライアントにどのように送信すればよいですか？

認証について

これが重要かどうかはわかりませんが、すべてのユーザー（有料および無料）が認証されます。Cookieはクライアントに保存され、STSによって生成される可能性があります。

私は持っている：

• ID プロバイダーでもあるパッシブ STS "ログイン アプリケーション"。
• ActAs トークンを受け入れて処理できるアクティブな STS WCF サービス
• Web サイトの証明書利用者
• Web サイトによって呼び出される WCF サービス証明書利用者。

これらはすべて、Windows Identity Foundation とカスタム STS コードを使用してまとめられています。Active Directory (ADFS) は関係ありません。

私が今働いているのは：

1. ユーザーが Web サイト RP にアクセスしようとします。
2. ユーザーがパッシブ STS にリダイレクトされます。
3. ユーザーがログインし、発行されたトークンを取得し、Web サイト RP にリダイレクトされます。
4. Web サイト RP は WCF RP へのサービス呼び出しを行い、ActAs トークンを渡すことで委任が発生します。
5. アクティブな STS は、ActAs トークンが入ってくるのを確認し、出力 ID を適切に設定して、プライマリ ID が ActAs トークンになり、呼び出し元の ID がアクター チェーンに追加されるようにします。
6. WCF RP は適切なトークンをすべて取得し、現在のスレッド プリンシパルは適切な ID とクレームを適切に取得します。

WCF RP がアクティブな STS から追加の要求を要求するようにします。

つまり、アクティブな STS に送られる RST に、サービスが必要とするクレームのリストを含めて、それらの追加のクレームがまだ存在しない場合にフェッチできるようにしたいと考えています。

Web サイト RP クライアントのバインディングを変更することでこれを行う方法を見つけましたが、WCF RP サービス エンドで要件を指定したいと考えています。

私が使用しているバインディングと関係があると感じています。ws2007FederationHttpBinding を ActAs トークンで動作させるのに問題があり、WIF ID トレーニング キットのすべての例で customBinding が使用されていたので、それも行いましたが、最終的には動作しました。これは、私のバインド構成を示す WCF RP の構成スニペットです。

呼び出し元の Web サイトの構成を変更して、issuedTokenParameters セクションで claimTypeRequirements を示すようにすると、アクティブ STS は実際には RST で必要な要求のリストを確認します... しかし、それは呼び出し元の Web サイトにあり、これは私にとって問題です。

呼び出し元の Web サイトでその構成を複製することなく、WCF RP が必要な追加のクレームを指定できるようにするにはどうすればよいですか?

それが実際に拘束力のある問題である場合は、上記の内容と同等の構成を示していただければ助かります。適切な変更を加えて Web サイトと WCF サービスを更新できますが、必要な要求のリストを制御するには、サービス (ま​​たはサービスの動作、またはサービスの構成) が必要です。サービスは、必要なクレームが欠落しているリクエストを受け入れるべきではありません。

クレーム ベースの Web サイトのカスタム クレームに基づいて、ドキュメント レベルのアクセス許可を付与したいと考えています。ユーザーは、数百または 1 つのドキュメントを持っている場合があります。カスタム クレームを適用することは良い考えですか? メリットやデメリットは？クレーム セットに追加できるクレームの数に制限はありますか?

よろしくお願いします。

ユーザーがパッシブ セキュリティ トークン サービス (STS) を介してログインした後に証明書利用者で作成される Cookie に適用されるタイムアウト期間を構成したいと考えています。これはデフォルトで14分に設定されているどこかで読んだと思いますが、これを読んだ場所が見つかりません。

これをもっと妥当な 35 分程度に増やしたいと思います。

変更する正しい値です

これが正しい場所である場合、値は分単位ですか? これに関するドキュメントがどこにも見つからないようです。

現在、Sharepoint 2007 で構築されたエンタープライズ コンテンツ管理システムを SharePoint 2010 に移行しています。このシステムには、カスタム フォーム ベースの認証プロバイダーとカスタム ロール プロバイダーが含まれています。ユーザーとロールのマッピングは、以下のように DB に保存されます。

ユーザー ID ロール ID サイト URL

21 15 www.sitea.com

21 10 www.siteb.com

22 15 www.sitea.com

ロール プロバイダーでは、現在のサイトで割り当てられているロールは、サイト URL を介して取得および設定されます。これは、次のように Initilize メソッドでロール プロバイダーのカスタム プロパティ (SiteURL という名前のプロパティなど) を設定することで解決されました。

SiteURL = SPContext.Current.Web.Url;

ただし、Sharepoint 2010 では、その行は使用できなくなりました。Sharepoint 2010 クレーム認証では、SecurityToken Web サービスという名前の別の Web サービスでカスタム ロール プロバイダーが呼び出されるためです。したがって、SPContext.Current は null です。

ここで、認証を要求しているサイトの URL を取得する別の方法を見つける必要があります。何か提案はありますか？