問題タブ [claims]

私は現在、Azure ACS とクレームベースの認証の組み合わせと、カスタム STS を使用するオプションを理解しようとしていますが、(残念ながら少数の) 情報ソースをゆっくりとしか理解していません。これにさらに時間を費やす前に、私の計画が可能かどうかを確認したいと思います. 従業員と顧客の両方がインターネット経由でアクセスしている複数の Azure ロール (Web + ワーカー) があります。さらに、従業員はローカル ネットワーク内からこれらの役割とデスクトップ アプリにアクセスします。

ユーザー データは 2 つのソースから取得されます。私たちの Azure アプリには、顧客と従業員に関するユーザー データがあり、従業員からの (ローカル) AD のみがあります。

ログイン エクスペリエンスを可能な限り効率的 (かつ人間工学的) にするために、ローカル ネットワーク経由でアクセスした場合、従業員はデスクトップ アプリ (Windows ユーザー プロファイル コンテキストにより自動的に) と azure の両方で自動的に認証 (Windows 統合認証?) される必要があります。アプリ（できればログインページなし）。一方、顧客は、Azure アプリにアクセスするときにユーザー資格情報を入力する必要がありますが、異なる "資格情報ソース" を決定する必要はなく、ユーザー名とパスワードの形式を取得するだけです。言い換えると

• 従業員がローカル ネットワークから Azure アプリにアクセス -> 統合認証 / AD データによる自動ログイン
• 従業員がインターネットから Azure アプリにアクセス -> ユーザー名とパスワードのフォーム
• 顧客がインターネットから Azure アプリにアクセス -> ユーザー名とパスワードのフォーム

この質問を書いているときに、さらに 2 つのことが頭に浮かびました。

1）ソース/クッキー/ウィザードリに基づいて自動ログインすることさえ可能ですか、それとも「資格情報ソース」を選択するためにユーザーが手動で選択する必要がありますか?

2) Azure ACS が、ユーザー名 X の AD アカウントが Azure アプリ ユーザー Y と同じであることを「認識」している場合、どちらがログインするかは重要ですか? アプリはどちらのログイン ルートでも同じクレーム データにアクセスできますか?

提案のリスト（InfoPathフォーム）を含むドキュメントライブラリがあります。ユーザーは、さまざまな組織のクレーム（Forms Auth、エクストラネット経由）を使用してSharePointからログインします。フォームはクライアントのInfoPathで開きます。InfoPathフォームには、プロポーザルが属する組織のフィールド（選択リスト）が含まれており、ユーザーはフォームに入力するときにこのフィールドを選択します。

各ユーザーのログインを組織のクレームで補強するカスタムクレームプロバイダーを作成しました。

ユーザーがSharePointからInfoPathフォームフィラーでプロポーザルを開くと、次のようになります。

• 組織選択リストに、ユーザーの主張に一致する組織を事前入力します
• 組織に対するユーザーの請求値がフォームで選択した組織と一致しない場合は、フォームの保存（挿入と更新）を制限します

InfoPathでクレーム情報を取得する方法を知りたいです。または、カスタムワークフロー/イベントレシーバー/ Webサービス（または他の何か）を使用してこのサーバー側を実行する方法のアイデアについては。

MVCアプリとカスタムロジックでWIFとクレームベースのセキュリティを使用して、認証後に適切なクレームを含むClaimsPrincipalを作成しています。ロールや名前などの標準的なクレームをプリンシパルに割り当てますが、該当する場合はカスタムクレームも割り当てます。

たとえば、URIを使用して、標準化された役割と名前のクレームに基づいてカスタムクレームをモデル化しました。

新しいクレーム（ "http://schemas.acme.com/2012/04/identity/claims/create"、 "http://schemas.acme.com/2012/04/identity/resources/customer"）

すべてが非常にうまく機能しています。SessionAuthenticationModuleを使用して、ユーザーセッションをCookieに保存し、リクエストごとに再水和します。

今日、誰かが同じユーザータイプでログインした後、カスタムクレームがCookieから逆シリアル化されていないことに気付きました。標準のクレーム（名前/役割）は存在しますが、カスタムのクレームは存在しません。

他の誰かがこれを見たことがありますか、またはこれが起こっている理由を知っていますか？

これはおそらく、AD FS 2.0クレームルールの設計に関する非常に基本的な質問であり、（初心者）に対する答えは見つかりませんでした。私はおそらく非常に基本的なものが欠けていますが、ここに行きます。

企業内にフェデレーションを展開しています。会社のユーザーは、WebアプリケーションA、B、Cなどを参照できます。各アプリには独自のサブドメインURLがあります（例：app-a.company.org、app-b.company.orgなど）。信頼できるSTSランディングページにリダイレクトします。リターンURLをSTSに渡します。STSクレームルールで、その戻りURLを抽出し、データベースルックアップを実行します。たとえば、現在のユーザーとURL "app-a.company.org"のアプリケーションの場合、ユーザーがそのアプリケーションで持つすべての役割が必要です（例：管理者、スーパーユーザー、購入者、何でも）。

私の質問は次のとおりです。

1. リターンURLをSTSに渡すにはどうすればよいですか？
2. クレームルールを作成するにはどうすればよいですか？（データベースを検索して結果を発行する方法は知っていますが、クレームルールでリターンURLまたはその他のカスタムパラメーターを取得する方法はわかりません）。

乾杯、

ライナス

権利管理のためにクレームを使用するためのベスト プラクティスはありますか?

新しい .net 4.5 と新しいクレーム クラスを使用しています。現在、私はそのようなことをしています：

値なしで right-claims を追加します。後で、権利の存在を確認します。値 (true/false など) は必要ありません。値が存在する場合は、暗黙の ' true ' になります。

それを行うより良い方法はありますか？

クレームがローカルデスクトップアプリでどのように使用されているかを理解するのに役立つことを本当に感謝します。シナリオは次のとおりです。ユーザーが「AnalysisAllowed：true」のようなクレームを持っているかどうかに応じて、タブfeを表示したいと思います。そのため、アプリの起動時にクレームを取得し、後でそれらに対してバインドしたいと思います。

すべてのサンプルは、WCFがAuthorization-およびAuthenticationManagersを使用して他のWCF-Servicesへのクレームベースの呼び出しを行う方法について話しているが、stsに連絡して（どうすればよいですか？WCF-Fed Binding？）、キャッシュするよりもそれを使用するもの。他のサービスコールはありません...:)

どうもありがとう！

特定のユーザーの wso2 ID サーバークレーム値をプログラムで取得しようとしています。ただし、例外が発生するたびにアクセスしようとすると、プログラムでクレームを追加できました

私が使用するコードは次のとおりです。

この例外の原因は何ですか?どうすれば修正できますか?

新しいWIF4.5SDKを使用していますが、LINQで.FirstorDefault（）で解決されるのと同じ厄介な例外があります。

ここでの問題は、Windows Live IDのクレームに電子メール値がないため、ユーザーがLive IDでログインした場合、NullReferenceException-オブジェクト参照がオブジェクトのインスタンスに設定されていないことです。私も試しました。

成功せず

クレームにメールがない場合、どうすればNULLまたは ""を返すことができますか？

ありがとう

ユーザーが ADFS から STS を取得してアクセスする Web サイトがあります。ADFS は、Active Directory 内のユーザーのグループ メンバーシップを確認することによってクレームを発行します。Web サイトは、WIF を使用してクレームにアクセスし、認証を処理します。

ユーザーの AD データが変更された場合 (たとえば、すべてのグループ メンバーシップが削除された場合)、それらの変更を RP のクレームにすぐに (同じセッション、少なくともユーザーの PoV から) 反映させる方法はありますか? 現在、AD のメンバーシップを取り消しても、(現在のセッションでの) RP に対するそのユーザーの要求は影響を受けません。ユーザーの ADFS セッションが期限切れになるまで (数時間かかる場合もあります)、失効前と同じクレームとアクセス権を保持します。

たとえば、ユーザー U1 が ADFS 経由で Web サイト W1 にログインし、少し閲覧した後、AD でメンバーシップをキャンセルします。短時間 (分) 以内に U1 を W1 から自動的にログアウトする必要があります。ログアウトしていない場合は、WIF のクレームセットをリセットして、空になった AD グループ メンバーシップを反映させることも許容されます。

これは可能ですか？私が見つけることができるすべてのドキュメントは、Web サイト自体 (W1) がユーザーのセッションをいつ終了する必要があるかを知っていると想定しているようです。 AD出身です。

<Property name="ReadOnly">false</Property>- これは、ID サーバーの usr-mgt.xml に設定されています。

ユーザー クレーム値を設定するためのメソッドを呼び出そうとすると、storeManager.setUserClaimValue(String userName, String claimURI, String claimValue,String profileName) という例外が発生します。

org.wso2.carbon.user.core.UserStoreException: User store is operating in read only mode. Cannot write into the user store.

何か不足していますか？