問題タブ [claims]

SSO の概念と、それらが自分の状況にどのように適合するかについて頭を悩ませようとしていますが、少し行き詰まっています。Azure AD や Ping Identity などを使用すると仮定すると、ソーシャル ログイン (Google アカウントや Facebook など) を有効にする必要があります。これで問題ありません。私が行き詰まっているのは、その ID に添付するクレームをどのように制御するかということです。

プロセス (私の頭の中) の概要: - ユーザーは Google (Facebook など) アカウントでログインし、Google アカウントを「レガシー」アカウントに関連付けます (つまり、ソーシャル ログインを、ビジネスとして識別される内部識別子にリンクします)。 ）そのプロセスが何であれ、この議論には関係ありません（私は思いません）。

ユーザーがソーシャル アカウントでログインしたときに、そのマッピングを内部識別子にルックアップしてクレームとして追加し、組織がユーザーについて知っている情報に基づいて、そのユーザーに関連する他のクレームを追加するにはどうすればよいですか (たとえば、 21 歳以上の場合、メンバーの「レベル」など)。

SSO を使用する RP が 1 つある場合、RP がこのロジックを実行できるため、SSO を使用して結合したい複数の内部 (および外部で管理されている可能性がある) システム (現在は 4 ～ 5) がある状況があることがわかります。 - アクセス/パーソナライゼーションなどのためにこれらのクレームに依存します。

私がこれに最も近いのは RP-STS の概念です。これは、効果的に Ping / AZ AD の前に座ってチェーンの一部を形成することができるため、内部ルックアップを実行して追加できます。必要に応じて追加の主張 - それは概念として意味がありますか? それは正しいアプローチですか？

これは珍しいことではないと確信していますが、必要な完全な統合（AZ AD / Pingなどだけで十分）に関する良い例/ドキュメントを見つけることができないようです. これを行うことができる既製の製品があるに違いありませんか? (可能であれば、カスタム SSO 実装/コンポーネントは本当に必要ありません)

アプリケーションで OWIN 認証を使用しました。

ログインアクション

別のアクションから UserName と UserID にアクセスしたい。クレームに追加された値にアクセスするにはどうすればよいですか?

試したアップデート

クイック ウィンドウ内に値を表示できます。しかし、値にアクセスできませんでしたが。値を取得する方法は？

ADFS 2012 R2 が Active Directory の特定の場所からグループ メンバーシップを送信するようにしたいのですが、どうすればよいですか?

「Send LDAP attributes as claim」、Token-Groups - Unqualified Names => Group を試しましたが、ユーザーがメンバーであるすべてのグループが得られます。AD の特定のパスにあるグループのみが必要です (例: org/department/applications/demoapplication)

特定のアクセス許可セット (EditPage、CreateProject、ModifyUser など) が与えられた場合、現在、この動作をモデル化するカスタム クレーム タイプを作成する 2 つの異なる方法を検討しています。これを行うための最良の方法については、オンラインでほとんど情報を見つけることができません。ご自身のシステムでこれをどのように行ったかについてのフィードバックをお待ちしています。

私が検討した最初のアプローチは、クレームの値によって特定のアクションが指定された、「アクション」クレーム タイプを使用することです。

2 番目の方法は、要求の種類自体を使用して、実行されるアクションを定義することです。値は使用されません。これは、ユーザーが claimtype を持っている限り、アクションを実行できる "PossessProperty" スタイルのセキュリティに似ています。

また、上記のクレーム タイプには、プロジェクト A のページを編集できるユーザーとプロジェクト B のページを編集できないユーザーを区別できるように、"プロジェクト" 識別子が含まれていることに注意してください。

また、これらすべてのカスタム クレームを中央の「承認」データベースに格納することも計画しているため、一意性が必要になります。

ご意見やフィードバックをいただければ幸いです。

ここで利用可能な優れたチュートリアルに基づいて、クレーム承認を使用する MVC アプリケーションがあります。コードでは、ClaimsAuthorizationManager の CheckAccess メソッドをオーバーライドして、各リソースとアクションに対して独自のロジックを実装します。

そして、CheckAccess メソッドが false を返すたびに HTTP エラー 401.0 – Unauthorized が発生するという事実を除けば、すべて正常に動作します。私の質問は、コードでこのエラーを処理して、カスタム エラー ページをユーザーに表示するにはどうすればよいかということです。hereやhereなど、さまざまなソリューションを見てきましたが、うまく機能させることができませんでした。

私の理解では、クレームは WS-trust 標準に基づく STS のものであり、SAML2 標準とは何の関係もありません。WS-trust STS トークンは、SAML を使用してその形式でクレームを送信できます。私は正しいですか？

アプリケーションの初期化中に、System.Threading.Thread.CurrentPrincial. しかし、アプリケーションが初期化された後、このプリンシパルにアクセスしたいのですが、CurrentPrincipal にはデフォルトの GenericPrincipal が再び含まれています。

なぜ私がこの振る舞いをするのか誰にも分かりますか? そして、アプリケーションの初期化後にそれにアクセスするためのプリンシパルをどのように設定する必要があるか。

次の例は、動作を示しています。

MainWindow.xaml:

MainWindow.xaml.cs:

私の実際のプロジェクトThread.CurrentPrincipalでは、Bootstrapper でプロパティを設定しました。

背景 保険では、損失発展トライアングルは、一定の発展期間にわたる累積コスト (IE: 請求に対して支払ったドル) を分類します。目的は、同じ期間の費用の推移における年ごとの請求費用の推移を確認できるようにすることです。

たとえば、2008 年に発生した請求と 2009 年に発生した請求がある場合、三角形は、12 か月後、24 か月後の両方の請求セットの累積費用を並べて表示するのに役立ちます。

三角形は次のようになります。

http://www.reserveprism.com/images/reportCountTriangle.jpg

質問 私の質問は、これを作成するための MDX クエリが存在するか、それとも OLAP キューブのフレームワーク内で可能かということです。(これは標準的な保険機能であるため、Google で何も見つけることができませんでした)。