問題タブ [claims-based-identity]

私は2つのサイトを持っています:

1) イントラネット company.local (主張された広告)

2) インターネット company.com (1) で拡張) フォーム (asp.net メンバーシップ)

私はこれをweb.configsに持っています

OkSMP2 は、asp.net メンバーシップ プロバイダーの名前です。

1) で、すべてのユーザー、Sharepoint グループ、AD サービスのみが表示されます。FormsAuthはありません:(

何か案は？

カスタム メンバーシップ プロバイダーを使用する従来の ASP.NET アプリケーションがいくつかあります。また、カスタム クライアントを作成した外部の SAML ベースの ID プロバイダーも利用しました。私は WIF と ADFS の価値を高く評価しています。SAML ID プロバイダーは ADFS と連携しますが、従来のメンバーシップ システムをサポートする必要があります。

レガシ認証を処理するためにカスタム STS を作成する必要がありますか? もしそうなら、多くの開発者はさまざまな理由でこれに反対するようアドバイスしています。安全でスケーラブルにするのに役立つテンプレートまたはフレームワークはありますか? SelfSTS と StarterSTS を見たことがありますが、どちらも実稼働用ではないことを暗示しています。

そうでない場合、オプションは何ですか？

クレーム対応の ASP.NET MVC アプリケーションに取り組んでいます。認証は、Active Directory フェデレーション サービスを介して行われます。ADFS サーバーのタイムアウトは 8 時間です。アプリケーション レベルでは、セッション タイムアウトとアプリ プールのアイドル時間を 3 時間に引き上げました。ただし、ユーザーが 30 分間非アクティブだった場合でも、ADFS サーバーはユーザーを再認証します。なぜそれが起こっているのですか？設定していないものを設定する必要があります。これに関するヘルプは非常に高く評価されます。

ありがとう！

ビニタ

クレーム ベースの承認を追加したい MVC アプリがあります。近い将来、フェデレーション ID に ADFS2 を使用する予定ですが、今のところはフォーム認証をローカルで使用します。

外部 ID プロバイダーなしで WIF を使用する最良の方法についてのチュートリアルまたはブログ投稿を見た人はいますか?

私は次のことを見てきましたが、今では1年前なので、もっと簡単な解決策があるはずです:

http://geekswithblogs.net/shahed/archive/2010/02/05/137795.aspx

クレームウェアWCFサービスに接続するSilverlight4アプリケーションに取り組んでいます。次のコードを使用して、WCFでクレームトークンを取得し、承認を実行しています。

WCFでwsHttpBindingを使用し、コンソールアプリで試してみると、正常に機能します。ただし、SilverlightはbasicHttpとcustomeBindingのみをサポートしているため、wsHttp、ws2007Http、またはその他のバインディングを使用することはできません。そのため、SilverlightからWCFのIClaimIdentityトークンを取得していません。

Silverlightでサポートされているバインディングのいずれかを使用しても、WCFでClaimIdentityを取得する方法はありますか？これについてもっと読むことができるチュートリアル/ヘルプテキストはありますか？

私のWCF設定は次のとおりです。

私は Azure ACS を使用しており、これを .NET 4.0 Web サイトの SSO 戦略に組み込んでいます。[Rule Groups] ページで、一連のさまざまなクレームを格納して RP に戻すことができることを確認しました (国、住所、電話番号など)。作成したい任意のクレーム タイプを返すこともできるようです。これにより、ユーザーの情報の保存に関連する多くの質問について考えるようになりました。

• ユーザー情報 (nameidentifier 以外) を ACS とローカル データベース テーブルに格納することは理にかなっていますか?
• 無制限のルール グループとその中にルールを作成できるように思えました。あれは正しいですか？
• 社内のさまざまな企業やユーザーとやり取りすることになります。会社ごとにルール グループを作成し、ユーザーごとにルールを作成することは賢明な選択でしょうか。
• API は非常に堅牢で、サインアップ ページなどの結果としてこれを自動的に行うことができるようです。正しいですか、間違っていますか?
• ユーザーに関する情報を返すために ACS に対してクエリを実行することは実行可能であり、推奨されますか (たとえば、ユーザーがオフラインのときに電子メール アドレスをクエリして、何かについてのメッセージを送信するなど)。
• レポート目的で ACS から大量の情報を取得できますか?

WindowsIdentityFoundationを使用するプロジェクトに取り組んでいます。サインアウトソリューションをテストしているときに、次の呼び出し http：// rp /？wa = wsignoutcleanup1.0は、RP上のFedAuthCookieを削除しないことがわかりました。これにより、ユーザーはRPにサインインしたままになります。

この状況を改善するために、Global.asaxに次のコードを追加しました。

しかし、WIFはこれを自動的に処理するべきではありませんか？それともこれがそれを行う方法ですか？

WCFNetTcpバインディングサービスを実行するWindowsサービスがあります。すべてのバインディングおよびエンドポイント情報はプログラムで設定されます。

SharePointでは、チャネルファクトリを使用してこのサービスにアクセスしています。

このコードはSharePoint2007を使用して正常に実行されました。SharePointサイトを2010にアップグレードしているため、新しいフォームベースのクレームIDはクライアントの資格情報を送信していません。このエラーが発生します。

Channel Factoryにアプリケーションプールのクレデンシャルを送信させる方法を知っている人はいますか？今のところ、RunWithElevatedPrivilegesを使用して問題を解決しましたが、他に選択肢がない限り、それを実行することにあまり熱心ではありません。

WIF ベースの WCF サービスが機能するには、メソッドFederatedServiceCredentials.ConfigureServiceHost()を呼び出すか、同等の要素<federatedServiceHostConfiguration>をweb.configファイルに配置する必要があります。これはサービス レベルの設定です。つまり、すべてのエンドポイントに適用されます。

メソッドのドキュメントによると、ServiceHostBaseインスタンスはいくつかの WIF 固有の方法で変更されます。たとえば、承認は WIF ベースの承認クラスに置き換えられます。

ここで、1 つのエンドポイントが WIF ベースで、他のエンドポイントがプレーンな Windows 認証を使用している複数のを含む単一の<service>(内部<system.serviceModel><services>) を使用したいと考えています。<endpoint>

アップデート。以下の回答 に応えて、 WIF エンドポイントと非 WIF エンドポイントを混在させたい理由を説明させてください。WIF のみを使用する場合、各顧客は AD FS などの STS を必要とします。これを設定することは難しくありませんが、ソフトウェアをテストしたいだけの場合は特に、ハードルが高くなります。そのため、Windows 統合認証を使用するモード (Web サービスとフロント エンド) でインストールし、後で AD FS を使用するモードに切り替えることができます。

したがって、基本的には、AD FS なしでインストールできるようにして、アプリケーションの参入障壁を下げたいと考えています。

これを行うには、 が<service>必要<federatedServiceHostConfiguration>です。ただし、これが私の問題です。これは、同じサービスの非 WIF エンドポイントにも影響します。たとえば、WIF 承認マネージャー ( classClaimsAuthorizationManagerのインスタンス) を突然使用します。

だから私の質問は: 単一の WCF で WIF エンドポイントと非 WIF エンドポイントを混在させるための推奨される方法は何<service>ですか?

AzureのACSサービスは非常に優れており、それが実行できるすべての魔法が大好きですが、Webアプリ（MVC）にはもう少し魔法が必要です。CodePlexのコードサンプルを見ると、サービスを呼び出して、次のようなエンドポイントからログインプロバイダーのJSONリストを取得するのは簡単です。

https://.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=http%3a%2f%2flocalhost%3a7070%2f&version=1.0&callback=？

結果のJSONから、プロバイダーへのリンクをレンダリングできます。これらのログインを処理すると、ACSを介してバウンスされ、ACSは、Azureで設定したエンドポイントに結果のトークンを使用して投稿を行います。ポータル。

私の質問は、そのトークンで何をするのかということです。IPrincipalのセットを作成するWIFの「魔法」を使用したくありません。私はアプリにすでにあるものをいじりたくないだけです。