問題タブ [federated-identity]

Facebook の認証情報、OpenID、OAuth などを使用してログインするなど、セットアップが非常に簡単なサードパーティの分散認証のソリューションが多数あります。

Windows ドメイン環境で、ファイアウォール内で同様のことを行うにはどうすればよいですか?

シナリオ:

• Linux サーバーでホストされている、ファイアウォール内の Python Web アプリケーション。
• ユーザーには Windows デスクトップがあり、Windows ドメインに対して認証されます

LDAP を使用して Active Directory に対してユーザー名/パスワードを検証できることは知っていますが、それは私が望むものではありません。アプリでユーザー名/パスワードをまったく処理したくありません。OpenID と同じように機能させたいと考えています。つまり、アプリがユーザーを何らかの Windows ID プロバイダー Web ページにリダイレクトします。

このためのすぐに使える Windows/IIS ソリューションはありますか?

編集：

• Windows Identity Foundationは私が探しているものでしょうか? それとも、WIF にビルディング ブロックがあるのでしょうか。

私はRobConeryの2010年のブログ投稿を（再）読んでいます。OpenIDはOpenID/OpenAuthの調査の一環として悪夢です。理想的には、単一のアカウントにリンクされた複数のOAuthプロバイダーを使用して、プロバイダーが利用できない場合の回復力を提供することを検討しています-Facebookでログインし、TwitterアカウントとGoogleアカウントをリンクし、次回Facebookにアクセスしたときにログインが機能しない場合関係ありません。TwitterまたはGoogleを使用して、自分のものにアクセスしてアクセスできます。実際には、パスポートで銀行口座を開設し、パスポートがない場合は運転免許証を使用して後でお金を引き出すことができます。利用可能。

彼の記事でのRobの主な懸念事項の1つは、OpenIDを使用しているユーザーを一貫して特定する方法がないことです。誰かがいつかGoogleにログインして製品を購入し、数日後に戻ってGoogleにログインできなくなる可能性があります。 2つのGoogle認証呼び出し間で一貫性を保つことが保証されている一意の識別子がないため、購入した製品にアクセスします。

これがOAuth2.0で対処されているかどうか、つまりプロトコル仕様を介して明示的に対処されているのか、主要プロバイダー間の実装コンセンサスを介して対処されているのかについて興味があります。特定のOAuthプロバイダーとのユーザーの関係の存続期間中、変更しないように信頼できるフィールド（ある場合）はどれですか？

パッシブ フェデレーション ID (C#、ASP.Net MVC 3、WIF) を使用して、ドメイン名が異なる Web サイトのグループに SSO (シングル サインオン) を実装しました。STS でホストされるログイン ページを使用した標準のパッシブ フェデレーションに従うため、セットアップは正常に機能します。

www.brand1.com
www.brand2.com
...
www.sts.com (ログインページはこちら)

ここで、クライアントは、ユーザーが STS にリダイレクトされないように、各証明書利用者にログイン ページを実装することを望んでいます。その理由は、各証明書利用者が既知のブランドであるため、それぞれのブランドで別のドメイン名 (ホスティング STS) にリダイレクトすることは受け入れられないためです。ブランドごとに STS のログイン ページをカスタマイズすることもできません。

ログインページを証明書利用者に移動する方法はありますか?

私は WIF を使用して新しい Web サイトを認証してきました。STS は starter-sts 実装に基づいています。

負荷分散された環境でこれが正しく機能するようにするために、global.asax で次を使用して、デフォルトの証明書の動作をオーバーライドしました。

これはすべて機能しており、人々はシステムを正常に使用していますが、時々次のような爆発が発生します。

ID1014: 署名が無効です。データが改ざんされている可能性があります。

イベントログに記録されていたので、WIF トレースをオンにすると、ログに次のように記載されていました。

ID1074: ProtectedData API を使用して Cookie を暗号化しようとしたときに、CryptographicException が発生しました (詳細については、内部例外を参照してください)。IIS 7.5 を使用している場合、これはアプリケーション プールの loadUserProfile 設定が false に設定されていることが原因である可能性があります。

RSAを使用するように実装を変更したので、これは私に影響を与えないはずなので、これが私を暗い路地に導いていると感じています。

私を助けるためのアイデアはありますか？

Azure で mvc 4 Web API プロジェクトを構築しています。この API へのリクエストは、次のルートを通過します。

同じドメインと別のルートで、mvc Web サイトをセットアップしました。

mvc Web サイトは、Access Control Services とやり取りしてトークンを取得する HTML と Javascript のページにすぎません。トークンをサービスに渡して、jQuery ajax 経由でデータを取得します。

サービスのセキュリティを実装する (API に送信されたトークンを検証する) ために、この記事で説明されているように SWTModule クラスと TokenValidator クラスを使用し、MVC 4 Web アプリケーション プロジェクトの Web.Config system.webserver 属性を呼び出します。

[Authorize] で MVC コントローラー メソッドをマークしていませんが、既定の Web ページを読み込むと、次のエラーが発生します。

「/」アプリケーションでサーバー エラーが発生しました。

無許可

説明: 現在の Web 要求の実行中に未処理の例外が発生しました。エラーの詳細とコード内のどこでエラーが発生したかについては、スタック トレースを確認してください。

例外の詳細: System.ApplicationException: 無許可

ソース エラー:

43 行目: 44 行目: // 'WRAP' で始まることを確認します 45 行目: if (!headerValue.StartsWith("WRAP ")) 46 行目:
{ 47 行目: new ApplicationException("unauthorized") をスローします。

ソース ファイル: D:\Dev\VisualStudio2010\Projects\myServices\Azure\myDataInterfaces\SecurityModule\SWTModule.cs 行: 45

スタックトレース：

[ApplicationException: 無許可]
D:\Dev\VisualStudio2010\Projects\myServices\Azure\myDataInterfaces\SecurityModule\SWTModule.cs:45 System.Web.SyncEventExecutionStep.System.Web の SecurityModule.SWTModule.context_BeginRequest(オブジェクト送信者、EventArgs e)。 HttpApplication.IExecutionStep.Execute() +80 System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +270

コントローラー メソッドに [Authorize] を付けていなくても、SWT トークンの検証がすべての応答に対して実行されているため、おそらく Web スタックで以前に呼び出されたため、それらが拒否されているように思えます。 Web.Config 属性?

誰かがこれを機能させる方法について正しい方向に向けることができますか? デフォルトの Web ページ (Home controller Index メソッド) にログイン画面が表示され、メイン ページにリダイレクトされるようにしたいと考えています。ユーザーが使用可能な ACS ID プロバイダーのいずれかを使用してログインしていない場合、そのメイン ページは無許可で返されます。同様に、Web API の ApiController メソッドの一部を公開したままにし、他のメソッドには承認を要求したいと考えています。

現在、MVC アプリと Web API サービスの両方を、Visual Studio の単一の Web ロール ソリューション内の単一の Web アプリケーション プロジェクト内の単一の Global.asax ファイルを介してルーティングしています。これを修正する方法は、HTML MVC サイトと Web API を、同じ Web ロール ソリューションの下で別の Web アプリケーション プロジェクトに分離することでしょうか? それでも、一部のコントローラー メソッドに承認要件を割り当てる手段は得られません。コントローラーと ApiController をルーティングするための別の場所が得られるだけです。

近くにいるような気がしますが、何か大きなものを見落としているかもしれませんが、オンラインで見つけられないようです. 誰かが私をまっすぐにしてくれますか？

ありがとう、アレックス

管理者アカウントで Visual Studio 2010 から Windows Identity Foundation 4.0 (64 ビット) のフェデレーション ユーティリティで [現在のソリューションで STS プロジェクトを作成する] オプションを使用しようとしています。Windows Home Premium で IIS 7.5 を使用しています。

[完了] ボタンをクリックすると、「指定されたファイルが見つかりません」というエラーが表示されます。メッセージ。

何か助けはありますか？

こんにちは私は自分のasp.netサイト（ChildSiteと呼ばれる）でFederatedPassiveSignInControlを使用して、別のasp.netサイト（ParentSiteと呼ばれる）にセットアップされたSTSからユーザーIDを取得しています。私のサイト（ChildSite）の認証はFormsAuthenticationに設定されているため、FederatedPassiveSignInControlはChildSiteのフォーム認証ログインページにあります。

2つのシナリオがあります。最初に、ユーザーはParentSiteにログインし、ParentSiteのリンクを介してChildSiteに進みます。2番目に、ユーザーは直接ChildSiteにアクセスし、ChildSiteにログインします。

シナリオ1：

1. ユーザーがブラウザでParentSiteを開きます
2. ユーザーがParentSiteにログインします
3. ParentSiteは、ブラウザにChildSiteへのリンクを表示します
4. ユーザーがChildSiteへのリンクをクリックする
5. ユーザーが子サイトにアクセスします

ここで、ユーザーはログインページにアクセスします。望ましい動作は、ユーザーがすでにParentSiteにサインインしているため、ChildSiteで要求されたURLにシームレスにリダイレクトされることです。

代わりに、ログインページが表示され、ユーザーはFedratedPassiveSigninControlボタンをクリックしてIDを取得し、リダイレクトする必要があります。FedratedPassiveSigninControlプロパティautosignin="true"を設定できません。ログインしていないときは常にユーザーをParentSiteにリダイレクトし、シナリオ2に違反します。

FedratedPassiveSigninControlを表示せず、要求されたページにユーザーを転送するだけで、ユーザーがすでにログインしていることを検出する方法、またはFederatedPassiveSignin Control（または他のWIFコンポーネント）を取得する方法を知りたいです。

シナリオ2：

1. ユーザーがブラウザでChildSiteを開きます
2. ユーザーはChildSiteのテキスト入力にクレデンシャルを入力し、[ログイン]をクリックします。
3. ChildSiteで要求されたページが表示されます。

ここで何かが足りませんか？

乾杯、モルト

MSDN でフェデレーション サーバーの例を実装しようとしています。私が行った唯一の変更は、サーバーの名前を変更し、1 台のマシンを Web およびフェデレーション サーバーとして使用したことです。

MSDN からダウンロードしたクレーム対応アプリに次のエラーがあります。

新しいエンタープライズ Web アプリケーションを開始しています。これは Windows Azure でホストされ、SQL データベースと通信する asp.net MVC アプリケーションになります。

私の質問は、マルチテナンシーとそれを達成するための正しい方法に関するものです。過去に、テナント テーブルを作成し、すべてのテーブルに TenantID 列を配置することで、マルチテナント アプリケーションを作成しました。これは問題なく機能しました (ただし、規模が小さかったため、実際には n 次までは実行されませんでした)。Azure のマルチテナントについて調べてみると、この方法は推奨されていないようです。彼らはサブドメイン、テナントの分割などについて話します。私には、それは管理上の悪夢のように思えます。ユーザーが Web サイトにアクセスし、テナントのログイン情報を入力して、ブームをオフにしたいと考えています。

1. Azure のスケーラビリティの強みを引き続き利用できる、Azure にマルチテナンシーを実装する簡単な方法はありますか?
2. シンプルな TenantID メソッドを使用する必要がありますか? Azure フレームワークは、引き続き適切に拡張できますか?
3. 最初からテナントについて心配するべきですか、それとも最後までそのままにしておくべきですか?

アドバイスが必要です。

ありがとう

Google App Engine Go SDK を使用して Federated Login を実装しようとしていますが、このテーマで見つけることができる唯一の例は、 Python および Java でこれを行う方法に関するものです。URL を取得するためにこの関数を呼び出す必要があることは理解していますが、渡すパラメーターについてはわかりません。いくつかの主要なプラットフォーム (Facebook、Twitter など) の GAE Golang での Federated Login の例を誰か提供できますか?