問題タブ [claims]

メッセージセキュリティとWindows認証でwsHttpBindingを使用するWCFサービスがあります。

コンソールアプリケーションサービスクライアントはサービスを呼び出すことができ、ServiceSecurityContext.Current.WindowsIdentityとThread.CurrentPrincipal.Identityの両方が適切なユーザーを表していることがわかります。

予想通り、現在のプリンシパルはIClaimsIdentityです。

SharePoint Webを開こうとすると、問題が発生します。偽装されたIDをデータベースまたは共有ポイントサーバーに渡すことができないことを示すアクセス拒否エラーが表示されます。ただし、これはすべて同じマシンにあるため、ダブルホップ認証の問題は発生しないはずです。

これは、クレームアプリケーションでホストされているサービスに対してヘッドレス認証を行う正​​しい方法ではありませんか？

全て、

最近、SharePoint 2010内にカスタムクレームプロバイダーを実装しようとしました。クレームには、データベースからいくつかのビジネスロジックが入力されます。

主張はユーザーにそれをしているように見えます。これは良い第一歩です。

次のステップは、ピープルピッカーが機能するかどうかを確認することでした。

「名前の確認」ボタンをクリックすると、PeoplePickerは名前を検索して解決できます。ただし...PeoplePickerに移動し、[参照]をクリックしてクレームを検索し、それを選択して[追加]ボックスに追加し、[OK]をクリックします。何も起こらず、[権限の付与]ボックスに何も追加されません。または、クレームを入力して[名前を確認]ボタンをクリックすると問題なく解決されますが、[OK]をクリックすると、フィールドが空白になり、必須と表示されます。または、クレームを入力して[名前の確認]ボタンをクリックせずに[OK]をクリックすると、次のようなエラーメッセージが表示されます。パラメータloginNameを空にすることも、251文字を超えることもできません。

したがって、SPClaimProviderの実装には、2つのFillResolveメソッドがあります。1つは文字列を受け入れ、もう1つはSPClaimを受け入れます。SPClaimを受け入れるものは、決して呼び出されません。私が正しく理解していれば、SharePointの主張に基づいてセキュリティを適用するための最終的な解決を行うのは私が信じていることです。

コードを提供せずにできるだけ詳しく説明するように努めましたが、この問題を解決するために知っておくべきことは何でも教えてください。

よろしくお願いします、スコット

WCF サービスから外部データを取得する必要がある SharePoint アプリケーションがあり、次に SQL サーバー (2005) からデータを取得します。SharePoint は NTLM 経由で認証され、資格情報は SharePoint サーバーでクレームに変換できます。

WCF サービスは、以前に Web アプリケーションによってアクセスされたデータベースに接続します (Web アプリケーションは SP+WCF に移行されています)。このデータベースには権限が付与されているため、エンド ユーザーの ID でアクセスする必要があります。これは、クライアント -> Web アプリ -> SQL Server の場合は問題ありませんが、クライアント -> SharePoint -> WCF サービス -> SQL Server の場合は失敗します。

この状況に当てはまると思われるなりすましと c2wts について少し読みましたが、どのように適合するかはわかりません。SharePoint サーバーまたはサービス サーバーなどに配置する必要がありますか?

SharePoint および WCF サービスを介してエンド ユーザーの ID を保持し、SQL サーバーにアクセスできるようにするにはどうすればよいですか?

Access Control Service (ACS)とWindows Identity Foundation (WIF)を使用して、WCF Data Services Web API アプリケーションを保護することを考えています。

クレームを使用してユーザーを一意に識別するにはどうすればよいですか?

私の考えは、標準クレームNameIdentifierと WIF クレーム IdentityProvider を組み合わせて使用​​し、任意のユーザーに一意の ID を作成することです。

このコンボは本当に安定してユニークですか? IP が IdentityProvider 文字列を突然変更する可能性はありますか?

ここでの考え方は、2 つの半分を連結した文字列を任意のユーザーの一意の ID として保存することです。

NameIdentifier クレームにはセキュリティ上の意味がありますか?

乾杯、

M.

クレーム認証とFBAが設定されたSPサイトがあります。デュアル認証Win/Formsは完全に機能しています。

アプリページにasp：PasswordRecoveryコントロールがあります。アカウントを正しく検索しているようです。ユーザー名が見つからない場合は、「見つかりません」というメッセージが返されます。ただし、次の実行ではパスワードのリセットに失敗します。

前もって感謝します。

更新：
追加しました：
enablePasswordReset="true"
をアプリweb.configとtoken- serviceweb.configに追加しました

手動テストを行うためにいくつかのコードを書きましたが、私のコードがパスワードを「リセット」しようとしたときにもこれを取得しました。
このプロバイダーは、パスワードのリセットを許可するように構成されていません。パスワードのリセットを有効にするには、構成ファイルでenablePasswordResetを「true」に設定します。

• SharePoint ポータルはクレーム モードであり、サービスは /_vti_bin でホストされています。
• http://msdn.microsoft.com/en-us/library/ff521586.aspxに従って、MultipleBaseAddressBasicHttpBindingServiceHostFactory を使用しています。

サービスへの参照を追加すると、 NTLMを使用するバインディングが生成されるため、サービスを正しく構成する必要があります。同じコンピューター上で (現時点では) 実行されるサービス クライアントは、新しい BasicHttpBinding をインスタンス化し、ClientCredentialType を Ntlm に、AllowNtlm を true に設定し、さらに (一部のテストでは) Credentials.Windows.ClientCredential を DefaultNetworkCredentials または特定の NetworkCredentials に設定します。

私が何をしても、Thread.CurrentPrinciple は常にサービス側で匿名であり、ServiceSecurityContext.Current.WindowsIdentity も同様に空です。

ここで何が間違っていますか？

WCFNetTcpバインディングサービスを実行するWindowsサービスがあります。すべてのバインディングおよびエンドポイント情報はプログラムで設定されます。

SharePointでは、チャネルファクトリを使用してこのサービスにアクセスしています。

このコードはSharePoint2007を使用して正常に実行されました。SharePointサイトを2010にアップグレードしているため、新しいフォームベースのクレームIDはクライアントの資格情報を送信していません。このエラーが発生します。

Channel Factoryにアプリケーションプールのクレデンシャルを送信させる方法を知っている人はいますか？今のところ、RunWithElevatedPrivilegesを使用して問題を解決しましたが、他に選択肢がない限り、それを実行することにあまり熱心ではありません。

私は、Windows Identity Foundation を使用して RP に対して認証する必要がある Web フロント エンドを備えた、切断された WCF システムで作業してきました。基本的なセットアップは次のとおりです。

RP (+ クレーム) -> Web フロント エンド -> WCF サービス (~)

WCF は、ログインしているユーザーが RP にいて、特定のアクションを実行するために必要なクレームを持っていることを確認する必要があります。

Web フロント エンドから WCF サービスを呼び出す際に問題が発生し、元は RP から取得された承認と要求がまだ利用可能です。

基本的に、WCF が Web フロント エンドによって呼び出されたときに、WCF から RP クレームにアクセスできません。

要求モードで Https 用に構成された sharepoint サーバーがあります。SharePoint サーバーで WCF サービスをホストしました。この WCF サーバーは、認証にクライアント証明書を使用します。

WCF サービスはBasicHttpBinding.

クライアント側のバインディングは次のとおりです。

次の呼び出しを使用してクライアント証明書も設定しました。

クライアント証明書がクライアントとサーバーに正しくセットアップされている。

サービスを呼び出そうとすると、次のエラーが発生します。

クライアント資格情報を証明書に設定しましたが、http クライアント認証スキームが匿名であると言っている理由が不明です。

PeoplePicker 用に独自の SPClaimProvider を実装する必要があります。オーバーライドする方法がいくつかあります。問題: 一部のメソッド/パラメーターの使用法がわかりません。これらのメソッドはすべてクレーム固有です。

例:

• メソッド FillClaimValueTypes. クレーム値型とは？どういう意味ですか？
• メソッド FillSearch、パラメータ hierarchyNodeID、searchTree - これは何ですか? どうすればこれを使用できますか?

アイデアはありますか？