問題タブ [federation]

バグ追跡システムにはさまざまなカテゴリがあります。これらのカテゴリの1つは「フェデレーション」です。それは本当にどういう意味ですか？

Google と Facebook はどちらも、Ping Identity や Microsoft ACS などのセキュリティ フェデレーション設定で ID プロバイダーとして機能できます。

Apple ID を ID プロバイダーとして追加できるかどうかは誰にもわかりませんか?

私はJava eeが初めてで、特定の要件を実装する方法がわかりません。

一連のルールと状態を維持し、クライアントに API を提供するオブジェクトの大規模なセット (数百万) が必要です。これらの各オブジェクトは長寿命です。これらのものが非常に多いことを考えると、多くの VM にわたってそれらを分割し、RMI を使用してそれらにアクセスする必要があります。

私の質問は、オブジェクトのインスタンスを見つけるという問題を解決するための Java EE アプローチがあるかどうかです。これにより、クライアントは、オブジェクトがどのマシン上にあるかを意識する必要なく、オブジェクトへの参照を取得できます。

JNDI については知っていますが、各オブジェクトを JNDI ディレクトリに登録することが適切かどうかはわかりません。各オブジェクトが属する VM を認識できる "Locator" ライブラリを作成する必要がありますか?

短い: SAML-P 2.0 に "whr" に相当するものはありますか?

LONG: 私たちは、ADFS 2.0 を使用して Federated Provider セキュリティ トークン サービスを実装しています。

返信先の 1 つは SAML 2.0 プロトコルを必要とします。ADFS は SAML-P 2.0 をサポートしていますが、要求を適切な ID プロバイダーに転送するために、SAML 要求で指定する必要がある証明書利用者に何を伝えればよいかわかりません。

WS-Federation を使用する場合、"whr" 属性をリクエスト クエリ文字列に添付するだけで、その値を使用してリダイレクトされます。SAML-P には同等のものがありますか?

既存の AD ユーザーを使用して Ruby on Rails アプリで認証することは可能ですか? もう少し正確に言うと、これが現在の状況です。

Rails アプリは Linux ボックスでホストされています。現在、Brightbox がホスティング プロバイダーとして使用されています。Railsアプリにはユーザー認証が組み込まれているだけで、接続されたADユーザーをアプリに認識させる方法がわかりません。

現在、何百人もの Active Directory ユーザーを抱えるかなり大きな顧客がいます。明らかに、ユーザーごとに Rails アプリ アカウントを作成せずにユーザーをログインさせたいと考えています。既知のすべての ID プロバイダー (OpenId、Google、Facebook など) に代わるものはありません。

このようなことをしていることがわかった唯一のものは、MicrosoftのADFS2です。しかし、レールの世界ではあまり使えないようです。しかし、それはまさに必要です。外部 AD ユーザーを信頼するために、AD とアプリの間に信頼を確立する方法。

何か案は？

現在、各ユーザーがデータベースを取得するシステムがあります。現在、1 つのデータベースのマルチテナント スキーマに移行しているため、1 つのデータベースで多くの顧客を収容できます。

いくつかの質問：

1. マルチテナント変換ツールは存在しますか? それとも、テーブルを作成し、他のすべてのテーブルにTenantを追加するだけのプロセスですか?TenantID

2. データベースと通信するコードをリファクタリングせずにマルチテナントを実装する簡単な方法はありますか?

   データベースとのやり取りをすべて行うOdata.svcがあります (フロント エンド クライアントは、.net フロントエンドから iOS デバイスにまで及びます)。フェデレーションを使用して述語のフィルタリングを実行する方法について少し読んだtenantIDので、コードをまったく変更する必要はありません。これは可能ですか？

3. データベースに含める必要があるテナントの数に推奨される制限はありますか?

私はこれがばかげた質問であることを収集しています (文字列の長さはどれくらいですか)。Azure で最終ソリューションをホストする可能性が最も高いでしょう。

誰でもできるアドバイスをお待ちしております。私たちはプロセスに根本的な変更を加えているので、下に落ちる前にそれを上回りたいと思っています.

マルチテナントデータベースをセットアップしていて、フェデレーションに関する次のブログ投稿に出くわしました：SQLAzureマルチテナント

彼らは、テナント間でデータをフィルタリングするための述語の割り当てについて書いています。

シングルテナントアプリでは、アプリケーションのクエリロジックは、データベース内のすべてのデータが1つのテナントに属することを前提としてコーディングされています。同一のスキーマで動作するマルチテナントアプリでは、リファクタリングされたコードは単にtenant_idをスキーマ（テーブル、インデックスなど）に挿入し、アプリが発行するすべてのクエリにtenant_id =？述語。テナントIDがフェデレーションキーであるフェデレーションでは、スキーマの変更を実装するように求められます。ただし、フェデレーションは、アプリのリファクタリングを必要とせずに、このtenant_id述語を自動的に挿入するFILTERING接続と呼ばれる接続タイプを提供します。データ依存ルーティングは、デフォルトでFILTERING接続を設定します。方法は次のとおりです。

1：フェデレーションorders_federation（tenant_id = 155）をリセット付きで使用、FILTERING = ON

私の質問は、これは単なるSQLの紺碧のことですか？または、これは任意のSQLサーバーインスタンスで実行できますか？

前もって感謝します

スタンドアロン ASP.NET アプリケーションの IdentityProvider の役割を持つ SharePoint 2010 STS を使用したいと考えています。

どうやってやるの？

更新:私の要件は次のとおりです。SharePoint のユーザーを認証に使用し、SharePoint で SingleSignOn を提供する ASP.NET アプリをビルドします。アプリは、SP ページ内の iFrame で開かれます。SP の認証設定が変更された場合 (ADFS 以外に、別の IdP でフェデレートされます)、ASP.NET アプリは変更を受けません。SP 2010 が STS を提供することを知っているので、パッシブ フェデレーションを使用した IdP の役割で使用したいと考えています。

パッシブ フェデレーションに関して、STS から証明書利用者へのセキュリティ トークンの転送がどのように正確に機能するのか疑問に思っています。Windows Identity Foundation とパッシブ フェデレーションに関するほぼすべての記事で、使用される "ツール" はブラウザー リダイレクト (ちなみに 30x http コードですか?) と Cookie だけであると言われています。しかし、STS がトークンを Cookie に保存し、その後ブラウザを証明書利用者にリダイレクトする場合、証明書利用者がこの Cookie を読み取ることができる可能性はありますか? Cookie の同一生成元ポリシーのようなもの (javascript のようなもの) はありませんか? Cookie (STS) の発行者は、依拠当事者とは別のアドレス/ソース/ドメインですが、それでも依拠当事者はこの「外部」Cookie へのアクセスを許可されていますか、それともこれを可能にするバックグラウンドの魔法ですか?

ありがとうございました

ID 管理は初めてです。次の管理に使用できる管理ツールはありますか。

1. エンタープライズ アプリケーション
2. Gmail
3. サース
4. OpenId
5. LDAP
6. 等。

アイデアは、管理ツール (ldap またはデータベースに保存) 内にユーザーを作成するための単一のポイントを持つことであり、同じ管理ツール内で、このユーザーのアカウントを上記の他のアプリケーションに自動的に作成できます。

これまでに調べたのは CAS と SSO です。どこから調べればよいかわかりません