問題タブ [federated-identity]

短い: SAML-P 2.0 に "whr" に相当するものはありますか?

LONG: 私たちは、ADFS 2.0 を使用して Federated Provider セキュリティ トークン サービスを実装しています。

返信先の 1 つは SAML 2.0 プロトコルを必要とします。ADFS は SAML-P 2.0 をサポートしていますが、要求を適切な ID プロバイダーに転送するために、SAML 要求で指定する必要がある証明書利用者に何を伝えればよいかわかりません。

WS-Federation を使用する場合、"whr" 属性をリクエスト クエリ文字列に添付するだけで、その値を使用してリダイレクトされます。SAML-P には同等のものがありますか?

私はこの問題に何ヶ月も座っていたので、これに対する解決策が私に起こるだろうと思いました-しかし私の脳は明白な最良のアプローチにフラグを立てていません。

STSへのパッシブ認証を引き起こすアクションフィルターで保護されている「編集」という2つのコントローラーメソッドがあります。

問題は、mvcがSignInResponseMessageを受信して​​から、私が望むものではないHttpPostを起動することです...そこにいる誰かがこの問題に取り組み、彼らが素晴らしい解決策を持っていると感じていますか？

最悪の事態が悪化した場合、つまり古き良きmvc1 Edit（）vs Update（）/ New（）vs Create（）などの場合、すべてのアクションメソッドに一意の名前を付けることができると思います。

既存の AD ユーザーを使用して Ruby on Rails アプリで認証することは可能ですか? もう少し正確に言うと、これが現在の状況です。

Rails アプリは Linux ボックスでホストされています。現在、Brightbox がホスティング プロバイダーとして使用されています。Railsアプリにはユーザー認証が組み込まれているだけで、接続されたADユーザーをアプリに認識させる方法がわかりません。

現在、何百人もの Active Directory ユーザーを抱えるかなり大きな顧客がいます。明らかに、ユーザーごとに Rails アプリ アカウントを作成せずにユーザーをログインさせたいと考えています。既知のすべての ID プロバイダー (OpenId、Google、Facebook など) に代わるものはありません。

このようなことをしていることがわかった唯一のものは、MicrosoftのADFS2です。しかし、レールの世界ではあまり使えないようです。しかし、それはまさに必要です。外部 AD ユーザーを信頼するために、AD とアプリの間に信頼を確立する方法。

何か案は？

Federated Authentication の概念実証に取り組んでいます。

カスタム STS (基本的には Windows Identity Foundation Basic STS サンプルを書き直したもの) を作成し、証明書利用者がこれを正常に使用できるようにセットアップしました。

PoC の次の段階では、Azure ACS を使用して、Google/LiveID/etc の資格情報と、カスタム STS によって提供される資格情報を使用したフェデレーション ログインを許可します。

Azure ACS がカスタム STS からのトークンを受け入れることができないことを除いて、すべてが機能します。

表示されるエラーは次のとおりです。

現在、これは ACS がカスタム STS からの SAML トークンの復号化に失敗しているように見えますが、Azure ACS にインストールされている唯一の復号化証明書は、カスタム STS による応答トークンの署名と暗号化に使用されるものです。

ここで何が欠けていますか？

さまざまな環境のMVCアプリで適切に機能するADFS2.0インストールがあります。「パッシブ認証」を使用していると思います（私はまだ適切な用語に慣れています）-ユーザーがログインしていない場合にユーザーをadfsプロキシにリダイレクトし、adfsがユーザーをMVCアプリにリダイレクトする場所ですログインしたら。

現在、いくつかのセキュリティで保護されたWebサービスを公開し始めており、この同じ認証システムを利用したいと考えています。ws2007FederationHttpBinding私の理解では、これを行うためのバインディングとして使用したいと思います。私はWCFのweb.configをすべてセットアップしていると思いますが、今ではFederationMetadata.xmlファイルを中心に苦労しています。

このファイルを見るentityID="http://localhost/UserServices"と、証明書など、明らかに変更が必要なものがいくつかあります。それから、私にはそれらが何であるか、そしてそれらを変更する必要があるかどうかがわからないことがいくつかEntityDescriptor ID="_2b510fe8-98b8......あり<ds:SignatureValue>CZe5mEu19/bDNoZrY8f6C559CJ.......ます。

さまざまな環境でこのファイルをどのように管理する必要があるかについて、どこで理解を深めることができますか？これらのサービスをホストしている次の環境があり、何らかの方法でデプロイします。

1. 個々の開発者ワークステーション（今のところ3倍、後でもっと）
2. これらのサービスに対してアプリを作成するが、必ずしもサービスを変更する必要がない人々のための共有開発環境
3. QA
4. 演出
5. 本番環境（証明書/ドメインなどが異なる3つの異なる環境）

そのため、変換を使用してさまざまな環境でweb.configファイルを管理し、特定のトークンを検索/置換するプロセスがかなり合理化されているので、このxmlファイルでも同じことを行いたいと思います。したがって、最終的に私が探しているのはFederationMetadata.xml、さまざまな環境でこのファイルを管理するときにどのような変更が必要かを理解することだけです。

私の現在のFederationMetadata.base.xmlファイルは以下にあり、これはほぼ正しいと信じています（名前/ロールが必要です）~RootServiceUrlTokenToReplace~。ここで、などのさまざまなトークンをインテリジェントに置き換える必要があります。

現在、各ユーザーがデータベースを取得するシステムがあります。現在、1 つのデータベースのマルチテナント スキーマに移行しているため、1 つのデータベースで多くの顧客を収容できます。

いくつかの質問：

1. マルチテナント変換ツールは存在しますか? それとも、テーブルを作成し、他のすべてのテーブルにTenantを追加するだけのプロセスですか?TenantID

2. データベースと通信するコードをリファクタリングせずにマルチテナントを実装する簡単な方法はありますか?

   データベースとのやり取りをすべて行うOdata.svcがあります (フロント エンド クライアントは、.net フロントエンドから iOS デバイスにまで及びます)。フェデレーションを使用して述語のフィルタリングを実行する方法について少し読んだtenantIDので、コードをまったく変更する必要はありません。これは可能ですか？

3. データベースに含める必要があるテナントの数に推奨される制限はありますか?

私はこれがばかげた質問であることを収集しています (文字列の長さはどれくらいですか)。Azure で最終ソリューションをホストする可能性が最も高いでしょう。

誰でもできるアドバイスをお待ちしております。私たちはプロセスに根本的な変更を加えているので、下に落ちる前にそれを上回りたいと思っています.

Simplesamlphp1.8を取得してADFS2をIdPとして使用しようとしています。

ログインを受け入れないブラウザのNTLM認証ダイアログを表示すると（[認証ソースのテスト]-> [default-sp]を選択した後）、深刻な問題が発生します。

config/config.php内

Metadata / saml20-idp-remote.php内（https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xmlから/admin/metadata-converter.phpで変換）

ADFSクレームルールには、「すべてのユーザーへのアクセスを許可する」と変換ルール「電子メールアドレス->名前ID」があります

どのように進めるかについてのアイデアはありますか？

http://claimsid.codeplex.com/の例をテンプレートとして使用しているフェデレーションクレームプロバイダーを作成しようとしています。そこで、VS2010を起動して自分のプロジェクトを開始します。最初に気付くのは、System.IdentityModelとMicrosoft.IdentityModelがあることです。これは通常、.Netフレームワークに何かが追加されて「主流」になったときに発生します。

これはここに当てはまりますか？

どちらを使うべきですか？

パッシブ フェデレーションに関して、STS から証明書利用者へのセキュリティ トークンの転送がどのように正確に機能するのか疑問に思っています。Windows Identity Foundation とパッシブ フェデレーションに関するほぼすべての記事で、使用される "ツール" はブラウザー リダイレクト (ちなみに 30x http コードですか?) と Cookie だけであると言われています。しかし、STS がトークンを Cookie に保存し、その後ブラウザを証明書利用者にリダイレクトする場合、証明書利用者がこの Cookie を読み取ることができる可能性はありますか? Cookie の同一生成元ポリシーのようなもの (javascript のようなもの) はありませんか? Cookie (STS) の発行者は、依拠当事者とは別のアドレス/ソース/ドメインですが、それでも依拠当事者はこの「外部」Cookie へのアクセスを許可されていますか、それともこれを可能にするバックグラウンドの魔法ですか?

ありがとうございました

Microsoft ASP .NET (Windows ID Foundation を使用した WS-Federation) と WSO2 ID サーバーとの相互運用性を検討しています。14 週間前にこの問題をフォーラム ( http://wso2.org/forum/thread/14221 )に投稿しましたが、スレッドでまだ応答がありません。クレーム ベースのセキュリティ モデルに WS-Federation プロトコル (Windows ID Foundation) を使用して、ASP .NET クライアントのコンテキストでパッシブ STS を構成する方法について、何らかのガイダンスが得られれば幸いです。前回の調査セッションで、ストーンヘンジ プロジェクト ( http://incubator.apache.org/stonehenge/ ) が達成したいものに最も近い例であることがわかりましたが、ID サーバー バージョン 3.2.0 にはパッシブ STS 機能がありませんでした。バージョン 3.2.2 に追加されました。

Q1 - WSO2 ID サーバーが WS-Federation プロトコルを完全にサポートしているかどうか確認してください。(はいの場合は関連ドキュメントを提供してください。いいえの場合は、Microsoft ID 基盤の相互運用性のための最良の代替案を提案してください)

Q2 - Windows Identity Foundation (WIF) を使用して ASP .NET アプリケーションのコンテキストでパッシブ STS 機能を使用する方法のガイダンスとサンプルを提供していただけますか?

Q3- ASP .NET アプリケーションで使用される ID サーバーのクレームを管理する方法を教えてください。