問題タブ [federated-identity]

ローカル マシンで連携ログイン アプリケーションをテストしようとしています。Socialauthアプリケーションと一緒に django を使用しています。しかし、localhost にログインすると、403 Forbidden django エラー ページが表示され、「CSRF トークン [is] が見つからないか正しくない」というメッセージが表示されます。アクセス元のサイトが承認されていないことを意味すると思います。

Googleドメイン管理ページで を追加できますがlocalhost、そのページを管理しようとしても何も起こりません。

では、ローカル マシンでフェデレーション ログインをテストする方法はありますか?

Shibboleth について高レベル/概念的な質問があります。

データ駆動型 Web アプリのフロントエンド (Drupal を実行) に取り組んでいます。エンドユーザーはフロントエンドとやり取りしてデータ クエリを作成します。これにより、キャッシング/アーカイブ データ プロキシ (「データ取得サービス」) に対してバックグラウンド リクエストが行われ、キャッシュからデータが配信されるか、さらにクエリが実行されます。必要なデータがあるサービス (「そこにある」)。これまでのところとても良いです...華やかですが、私たちが解決しようとしている問題と同じくらい華麗です.

問題点は次のとおりです。データ取得サービスによって照会されるサービスの中には、ユーザー レベルの認証を実装したいものがあるため、一部のユーザーはデータにアクセスできますが、他のユーザーはアクセスできません。組織上の理由から、ID と認証のメカニズムは Shibboleth になる可能性があります。

これが私のシナリオです。ユーザーは Shibboleth を使用してフロントエンドにログインします。さて、私のフロントエンド、ひいてはデータ検索サービスは、ユーザーとして外部サービスに対して認証を行うことができますか? もしそうなら、それは実際にはどのように機能しますか (どの認証データがサーバーからサーバーに渡されますか)?

MVC 2 アプリケーションがあり (基本的な MVC 2 アプリでこれを試しましたが、余分なものはありませんが、同じ問題がありました)、ユーザーの認証に adfs 2 を使用しています。

ID3206 : SignInResponse メッセージは、現在の Web アプリケーション内でのみリダイレクトできます: '/[app]' は許可されていません。説明: 現在の Web 要求の実行中に未処理の例外が発生しました。エラーの詳細とコード内のどこでエラーが発生したかについては、スタック トレースを確認してください。例外の詳細: Microsoft.IdentityModel.Protocols.FederationException: ID3206: SignInResponse メッセージは、現在の Web アプリケーション内でのみリダイレクトできます: '/[app]' は許可されていません。

私はこれに関するほとんどのブログを読み、そのうちの 1 つに投稿しました。

1. realm と AudienceUris の末尾にスラッシュがあります。
2. 彼が提案したものを Application_BeginRequest に追加しました。次に、証明書がある [開発ドメイン] にコードをコピーしました。その後、無限ループに陥ります。
3. また、ジュネーブ サーバーで自分の証明書利用者を確認しました。識別子とエンドポイント (POST) はどちらも https://[開発ドメイン]/[アプリ]/ で、末尾にスラッシュが付いています。

MVC アプリケーションであるという事実に問題があると思います。多数の Claims Aware Web サイトを作成し、default.aspx ページでクレームなどを取得しました。私の考えでは、MVC アプリに関連するルーティングが何らかの形で間違ってポストバックしていると思いますか?

しばらく静かにこれを見ているので、どんな助けも本当に感謝しています..

J

Federated login を使用して Java アプリ用の Google App Engine を構築しています。

ユーザーが OAuth プロバイダーを使用してアプリにログインすると、User オブジェクトが返されます [http://code.google.com/appengine/docs/java/javadoc/com/google/appengine/api/users/User.html ]。

そのユーザーへのリンクをデータストアに保持したいと考えています。ただし、一意のキーとして何を使用しますか? getFederatedIdentity() または getUserId() ですか? どちらにも JavaDoc はほとんどありません。明らかに、ユーザーがその後アプリにログインしたときに、データストアに保存したオブジェクトを取得したいと考えています。

federatedIdentity フィールドは常に入力する必要があることを理解しています (フェデレーション ログオンのみを許可しています)。ただし、それが私の詳細をログオンしているユーザーにリンクするために使用するフィールドである場合、Google はローカル サーバーでテストするときにこれを空のままにします...そのため、あまり役に立ちません。

getUserId フィールドとは何ですか - Google はどのように設定しますか? ユーザーのフェデレーション ID が同じままである場合、同じままであることが保証されますか?

どうもありがとう

そこにある WIF 情報のほとんどは、アプリケーション全体でフェデレーション認証を有効にするのに役立つようです。API を使用して SAML 認証要求を作成し、SAML 応答を受信/解釈することに興味があります。

SO Reading SAML Attributes from SAML Tokenに関する次の投稿を見つけたので、SAML 応答の受信と解釈に関して正しい方向に進むことができます。API を使用して SAML リクエストを作成する方法について、詳しい情報を教えてもらえますか?

一般的な API に関するその他の情報 (読み物、ビデオなど) をいただければ幸いです。

私はAzure ACS Labsと協力して、 FederatedServiceCredentialsを使用してアクティブ フェデレーションのユーザーを認証しています。ここで、WCF サービス内からユーザーのクレームにアクセスしたいと考えています。

この記事によると、クレームはリクエストスレッドによってアクセスされます...誰かがそれが何を意味するのか説明または実証できますか?

FedUtilまたはACSLabsのいずれかにバグがあるため、このWCF AppFabricラボのサンプルを、カスタム証明書の代わりにACSのデフォルトの署名証明書を使用するように適合させています。

質問：ACSラボで使用されている署名証明書をWCF内で使用するために抽出するにはどうすればよいですか？

内部でホストされているWCFサービスに対してACSを使用してWCFクライアントを認証するにはどうすればよいですか？この問題は、カスタムレルムの設定に関連しています（設定方法がわかりません）。

私のACSはACSサンプルと同様に構成されていますが、「レルム」は次のように定義されています。

AzureACS構成ページからの抜粋

クライアントサイドコード

サーバーサイドコード

...urn:federation:customer:222:agent:11証明書利用者IDはどこにありますか

...http://localhost:7000/Service/Default.aspxこれは、ACS認証が行われた後に上記のWCF/WIFクライアントをバインドする場所です。

質問

上記のコードを編集して、クライアントとサーバーの両方が特定のポート（localhost：700）に対して動作し、urn：federation：customer：222：agent：11のレルムでも動作するようにするにはどうすればよいですか？

サーバーコードは正しいと思います。AudienceRestrictionただし、クライアントに設定するにはどうすればよいですか？

新しい環境をセットアップしようとしています。SiteMinder は、内部ユーザーとフェデレーション ユーザーの両方の Web アプリ認証/承認に役立つことが提案されています。しかし、私たちは Siteminder で良い経験をしたことがなく、それを避けたいと考えています - どのような代替案を提案しますか?

編集: 現在、RP/SP になることを計画していますが、いつか IdP になる可能性もあります。OpenID は最初に計画された IdP ですが、将来的には追加の IdP に拡張される予定です

タイプのクレームは何http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierに使用する必要がありますか?

これが主な質問であり、ここに追加の質問があります。

請求とどう違うのhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/name？

名前の主張とは対照的に、特定のユーザーに対して永続的ですか?

グローバル スコープですか、それとも IdP スコープですか?