問題タブ [federated-identity]

Windows Azureアクセス制御サービス（ACS）はフェデレーション認証を有効にしますが、私が見たすべての例はパッシブフェデレーション（一連のHTTPリダイレクトとスクリプト化されたHTTP投稿を介して認証するブラウザーベースのアプリケーション）です。

ACSはアクティブなフェデレーションをサポートしていますか？

言い換えると、WebサービスにアクセスするWPFやSilverlightアプリケーションのようなリッチクライアントがあると仮定します。このシナリオでACSをSTSとして使用することは可能ですか？

GAE で OpenID フェデレーション ログインを使用して認証を実行すると、ユーザー オブジェクトには次のプロパティがあります。

ドキュメントから、

Eメール（）

ユーザーの電子メール アドレスを返します。OpenID を使用している場合は、この電子メール アドレスが正しいとは限りません。アプリケーションは、表示可能な名前にニックネームを使用する必要があります。

明らかに、このアドバイスはうまく機能していません。では、Google Apps やその他のドメインが提供する特定の OpenID に関連付ける正式なメール ハンドルを取得するにはどうすればよいでしょうか。招待状や共有/アクセス制御などはすべて電子メール ID を介して機能するため、電子メール ID が本当に必要です。

Google と Facebook はどちらも、Ping Identity や Microsoft ACS などのセキュリティ フェデレーション設定で ID プロバイダーとして機能できます。

Apple ID を ID プロバイダーとして追加できるかどうかは誰にもわかりませんか?

salesforce.com への idp 開始認証に取り組んでいます。生成された SAML トークンは、salesforce SAML 検証ページから正常に検証されますが、idp から salesforce にリダイレクトすると、salesforce アプリ ページにログインする代わりに、salesforce のログイン ページにリダイレクトされます。

私のセールスフォースには現在の設定が画像に表示されています。

次のパラメータを投稿しています

name="SAMLRequest" 値 = saml トークンが生成されました。および name="RelayState" 値 = リレーステート

https://login.salesforce.com/へ

何が問題ですか。Salesforce のログイン ページにリダイレクトされるのはなぜですか。フォームと一緒に投稿しているパラメーターに問題はありますか (パラメーター名または値が正しくないなど)?

フェデレーションWCFサービス（ws2007FederationHttpBinding）を備えたBizTalk2006R2ソリューションがあります。正常に動作しているように見えますが、多少の遅延が発生しています。

WCFトレースログから、着信メッセージのセキュリティヘッダーを確認するのに約30〜45秒の遅延がかかるようです。トレースから、セキュリティコンテキストトークンの処理に遅延があります（アクション：http ：//docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT ）。トレース「チャネルを介してメッセージを受信しました」から「セキュリティプロトコルが着信メッセージを検証しました」までのポイントです。遅延が発生します（毎回約> 30秒）。

サーバーとクライアントの両方でnegotiateServiceCredentialをfalseに設定しようとしましたが、望ましい結果は得られませんでした。

誰かが遅延の原因を知っていますか？

BizTalkサーバーは、リソースへのアクセスが制限されたファイアウォールの背後にあることに注意する必要があります（クライアントとSTSサーバー専用に開かれています）

私はWIFを使用して自分のSTSプロバイダーをロールし、依存関係者であるいくつかのアプリも持っています。STSプロバイダーのセッションタイムアウトは30分に設定されており、証明書利用者も同様です。

証明書利用者とSTSプロバイダーからサインアウトする場合は、STSプロバイダーにフェデレーションログアウトクエリパラメーターを発行します。

https://STSProvider.com/Default.aspx?wa=wsignout1.0

これにより、サインインしているすべての証明書利用者に対するフェデレーションログアウト要求を持つ画像タグを含むページが作成されます。

これに伴う問題は、STSプロバイダーでセッションがタイムアウトしたため、ログイン画面に戻ることです。また、証明書利用者のすべてのフェデレーションログアウトimgタグを含むページは提供されません。したがって、その人はすべての依存関係者にログインしたままになります。

STSのセッションを不定にすることができないフェデレーションログアウトを処理するための最良の方法は何ですか？

フェデレーションIDを実装するためのMicrosoftガイドに従っています。コードを配置する場所が記載されていないため、ファイルを作成しまし\App_Code\Auth.csた。ホームコントローラーにを実装するときFederationResultは、前述の名前空間を使用しようとしますが、VSはアセンブリ参照が欠落していると文句を言います。

奇妙なことに、のコードがAuth.cs文句を言わないのです...Referencesプロジェクトに「STS参照を追加」したのに、プロジェクトのアイテムを調べたところ、認識できるものが何も見つかりませんでした。NuGetも調べましたが、追加する必要のあるものが見つかりません...

何が起きてる？

クレーム サポートを実装したい MVC3 アプリがあります。私の目標は次のとおりです。

1. クリックすると、ユーザー名/パスワードと Facebook/WindowsLive/Google などのリンクを含むポップアップ ウィンドウが表示されるサインイン リンクを提供します。

2. /Order/Delete などの保護されたコントローラーにアクセスすると、サインイン ページに自動的にリダイレクトされます

AppFabricLabs.com でアプリケーションとプロバイダーをセットアップし、プロジェクトに STS を含めました。IAuthorizationFilter の実装も作成したので、コントローラーを [WifAuth] としてマークし、OnAuthorization メソッドを正常に呼び出すことができます。訪問者が次のように認証されていないユースケースを実装しました。

IDプロバイダーの選択を含むAppFabricLabsページを正常に取得します(そのページをカスタマイズする方法を理解していません)。ログインすると、returnUrl が呼び出されるため、コントローラー メソッド /Home/FederationResult に到達しますが、投稿されたフォームには waおよびwresultフィールドしか含まれていませんが、ユーザーの送信先を知るにはwctxが必要です... まだ持っていませんその理由を突き止めることができました。

wresultは XML ドキュメントであり、ログインしているユーザーの名前と電子メール アドレスが含まれていますが、残念ながらそのユーザーがアクセスした URL は含まれていません。

何かの設定に失敗したのでしょうか、それともベースから外れただけですか? 誰か考えますか？

• e

ACS からの Json フィードを使用してログイン ページを作成した RP があります。IP 画像はフィードの属性にリンクされており.LoginUrl、画像の 1 つをクリックすると、その IP のページに正しくジャンプします。

ただし、資格情報を入力すると、appfabriclabs.com サイトのページにリダイレクトされ、次のエラーが表示されます。

RP は、次のreturnUrlを使用して App Labs サイトで構成されます。

フィードのwreplyパラメータを見ると、次のことがわかります。

[ this one ] のようないくつかの SO 記事によると、アプリの戻り URL は wreply パラメータのプレフィックスにする必要がありますが、ここでは明らかにそうではありません。

だから...私は今何を間違ったのですか？

• e

ps 興味深い情報が 1 つあります。ACS のアプリケーション統合ページには、ACS がホストするログイン ページへのリンクがあります。そこで使用されているリンクは、フィードで提供されているものとは異なるようです。特に、ACS がホストするページは次のwctxを使用します。

一方、フィードは私に与えます：

その価値はわかりませんが、何が問題なのかの手がかりになるかもしれません。

* アップデート *

デコードされた最後の文字列は次のとおりです。

これは、Json フィードがACS がホストするページに存在しないryを提供していることを明確に示しています...誰にとっても何か意味がありますか?

nameidentifierWindows Live、Facebook、Google、および Yahoo 用の appfabriclabs の ACS で、「name」および「emailaddress」クレームのルールを作成しました...ただし、Relying Party 側では、WIF はそれらを認識してidentityproviderいないようです...他には何もありません。

これを機能させるために ACS で他に必要なものはありますか? クレームが実際にそこにあることを確認するにはどうすればよいですか?

* アップデート *

どうやら、Windows Live だけが失敗しているようです。他のプロバイダーは、構成したクレームを返します。また、電子メール アドレスの要求 (たとえば) は、ACS が持っていなかったので手動で構成しました... タイプを入力しhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress、パススルーとして示しました... Windows Live は電子メール アドレスを提供しませんか?

* アップデート II *

ええと...この記事によると、私はそれを構成することはできません。それを得るには、他のブードゥー教を行う必要があります...しかし、Windows Live IDを使用してWebサイトにログインすると、ログインしていると表示されるため、/nameidentifier/以上のものを取得する方法が必要です「ekkis」として-これがどのように行われるか知っている人はいますか?