問題タブ [federation]

そのため、自分のサイトで SQL Azure のフェデレーションを使用しようとしています。私はまず、完全なグラフィック インターフェイスでコーディングをテストできるツールを見つけようとしました。SSMS (SQL Server Management Studio) で上位 200 行を編集するためのコンテキスト メニューが見つかりません。

誰でも助けることができますか？

クレームベースの認証とシングルサインオンについて学習しようとしています。その間に、アプリケーションとIDプロバイダーの間に信頼を作成するステップを作成するときに、フェデレーションメタデータを選択するステップがあります。同じ中にある情報が何なのか知りたい。

だから私は、Web サイトから WCF サービスを消費し、サイトが STS から取得した IClaimsIdentity をサービスに渡そうとしています。

ActAs チャネルを介してサービス メソッドを呼び出そうとすると、クライアントで次のエラーが発生します (トレース ログを確認すると、サービスに到達せず、STS はすべてのトークンを正しく送信します)。

送信メッセージの ID チェックに失敗しました。期待される ID は 'identity(http://schemas.xmlsoap.org/ws/2005/05/identity/right/possessproperty: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/thumbprint ) です。 )' 'http://localhost/MyWCFHost/MyService.svc' ターゲット エンドポイントの場合。

カスタムの IssuedTokenForCertificate バインディングがあり、すべての証明書は私が見る限り問題ありません。動作するはずですが、ダイスはありません。私の設定を見て、助けてくれる別の目で感謝します：

Web サイト構成の使用:

WCF サービス構成:

ほとんどの場合に正常に動作するフェデレーション サーバーを実装しました。ws2007HttpBinding に依存し、UserNameSecurityTokenHandler の拡張 (CustomSecurityTokenHandler と呼ばれる) を実装します。私たちのLANでは、すべて正常に動作しています。

ただし、失敗する次のシナリオがあります。

1) ローカル LAN の代わりに、サーバーは Amazon EC2 にデプロイされます。クライアントは、サーバーに接続する WPF アプリケーションです。クライアントがワークグループ内の PC にインストールされている場合、接続は問題ありません。

2) ただし、PC が AD ドメインにある場合、接続できません。これはネットワークの問題によるものではないようです。EC2 への接続はまだ問題ありません。実際にフェデレーション プロバイダーに接続しますが、CustomSecurityTokenHandler には入りません。

そのため、サーバーがローカル LAN 用に正しく構成されているように見えますが、サーバーが外部ネットワーク上にあり、クライアントがローカル ドメインから呼び出すと、突然スタックします。

おそらく、構成に何らかの削除セクションがあるはずですが、どこにあるのかわかりません。
私は既に持っています ：

どんなアイデアでも大歓迎です。

ADFS サーバーが構成されている openam からフェデレーション接続テストを実行しようとすると、次の例外が発生します。

HTTP ステータス 500 -

タイプ例外レポート

メッセージ

サーバーで内部エラー () が発生したため、この要求を実行できませんでした。

例外

javax.servlet.ServletException: AMSetupFilter.doFilter com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:117) 根本原因

org.apache.jasper.JasperException: java.lang.NullPointerException org.apache.jasper.servlet.JspServletWrapper.handleJspException(JspServletWrapper.java:541) org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:435) org .apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320) org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) ) com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:91) 根本原因

java.lang.NullPointerException org.apache.jsp.validator_jsp._jspService(validator_jsp.java:424) org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70) javax.servlet.http.HttpServlet.service(HttpServlet) .java:803) org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:393) org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320) org.apache.jasper.servlet.JspServlet .service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:91)

この例外が原因で行き詰まり、adfs との接続が確立されていないと思います。だから私はそれについて行くべきですか？

あらゆる種類のヘルプが役立ちます。

ありがとう、

これを手伝ってください: openam で 1 つの idp と 1 つの sp でフェデレーションをセットアップしようとしています。使用されているデータ ストアは ApacheDS です。同じことについて、次のチュートリアルに従おうとしています。

http://fczaja.blogspot.com/2012/06/idp-initiated-sso-and-identity.html

(コンソールから) フェデレーション接続のテスト中に openam ログに次のエラーが表示されました* *

これはおそらく、openam が存在しない LDAP 属性を使用しようとしたことを意味していました (ApacheDS で最小限の属性セットを作成したため)。そこで、IDP と SP の両方でデータ ストアの設定に移動し、使用できない属性を LDAP ユーザー属性から削除しました。現在、次のエラーが発生しています。

一部のフォーラムでは、sun-fm-saml2-nameid-info や sun-fm-saml2-nameid-infokey などの属性が必要であると述べています。しかし、スキーマと一致しないため、データ ストアに追加できません。また、openam インストールで指定された LDIF を Apache DS にインポートできません。2 つの質問があります。はいの場合、openam 関連の schmea アイテムを Apache ds にもプッシュするにはどうすればよいですか? 2.ここで完全に欠けているものはありますか?

私は 97 のメンバー、つまり物理シャードを持つ SQL フェデレーションを持っています。各メンバーには、1 ～ 16 個の仮想シャード、つまりアトミック ユニットがあります。このデータ層は、検索ルックアップ Web サービス (Azure Web ロール Web サーバー上) を強化します。このサービスでは、ユーザーの応答に十分な回答を得る前に、すべてのアトミック ユニットが応答する必要があります。

検索パラメーターが与えられると、Web サーバーは照会する必要があるアトミック ユニット ID を特定できますが、関連するフェデレーション メンバーは特定できません (この変換には USE フェデレーションを使用しています)。目標は、Web サーバーがすべての原子単位 (どこにあるかに関係なく) を可能な限り迅速に照会するようにすることです。

現在、これに対する最善の解決策は次のように機能します。

1. 必要な原子単位のリストを生成します。
2. アトミック ユニットごとに USE フェデレーションと SQL ステートメントを生成します。現在、私が見つけた最高のパフォーマンスは、USE フェデレーション ステートメントで FILTERING = OFF を指定し、SQL ステートメントでアトミック ユニットの述語を手動で指定することです (これらの述語を追加するために FILTERING = ON に依存するのではなく)。
3. アトミック ユニットごとに、フェデレーション ルートへの SqlConnection を開き、USE フェデレーション ステートメントを実行してから、SQL クエリを両方とも非同期で実行します。TPL Dataflow ライブラリと async/await を使用して、すべてのアトミック ユニット クエリが終了するのを待ちます。その後、結果にビジネス ロジックを適用し (Web 要求によってはオプション)、応答を返します。

これらのクエリの各アトミック ユニットは 100 ～ 600 レコードを返しますが、2000 を超えることはありません。設計目標は、最大 200 アトミック ユニットを一度にクエリすることです => したがって、400,000 レコードが Web サーバーが適用する必要がある最大量です。ただし、そのロジックは「結果の個別の数値 ID ごとに 1 つのオブジェクトを取得する」以上のものではありませんが、そのために IEqualityComparer を実装しました。

このアプローチは、それほどうまくスケーリングされていないようです。30 ～ 40 のアトミック ユニットをクエリする場合でも、個々のアトミック ユニットの応答にかかる時間がそれぞれ 1 秒未満であることをテストして確認できますが、応答時間は著しく増加します。

私の問題の可能性が高い場所は次のとおりだと思います。

1. アトミック ユニット クエリごとに個別の SqlConnection を使用する => 接続プールを効果的に活用していますか?
2. ビジネス ロジックとオブジェクトのシリアライゼーション => アトミック ユニット間で異なる操作にアプローチする必要がありますか? 他のフィールドでも合計演算を実行したい場合はどうすればよいでしょうか (デフォルトの使用例ではなく、一般的な使用例です)。

誰かがこれを処理するお気に入りの方法を持っている場合は、それについて聞いてみたい. ありがとう。

現在の解決策:

openam と adfs のセットアップに必要なすべての変更を行い、次のリンクを使用しました: https://wikis.forgerock.org/confluence/display/openam/OpenAM+and+ADFS2+configuration を参照として使用しましたが、テスト中はadfs ネットワークからセットアップすると、次の例外が発生します。

タイプ例外レポート

メッセージ

サーバーで内部エラー () が発生したため、この要求を実行できませんでした。

例外

javax.servlet.ServletException: AMSetupFilter.doFilter com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:117) 根本原因

org.apache.jasper.JasperException: 158 行目の JSP ページ /saml2/jsp/spAssertionConsumer.jsp の処理中に例外が発生しました

155: se.getMessage()); 156: リターン; 157: } 158: respInfo = SPACSUtils.getResponse( 159: リクエスト、レスポンス、orgName、hostEntityId、metaManager); 160: 161: 文字列 ecpRelayState = respInfo.getRelayState();

スタックトレース: org.apache.jasper.servlet.JspServletWrapper.handleJspException(JspServletWrapper.java:524) org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:417) org.apache.jasper.servlet.JspServlet.serviceJspFile( JspServlet.java:320) org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) com.sun.identity.setup.AMSetupFilter. doFilter(AMSetupFilter.java:91) 根本原因

javax.servlet.ServletException: com.sun.identity.saml2.common.SAML2Exception: java.security.PrivilegedActionException: com.sun.xml.messaging.saaj.SOAPExceptionImpl: メッセージ送信に失敗しました org.apache.jasper.runtime.PageContextImpl.doHandlePageException (PageContextImpl.java:850) org.apache.jasper.runtime.PageContextImpl.handlePageException(PageContextImpl.java:779) org.apache.jsp.saml2.jsp.spAssertionConsumer_jsp._jspService(spAssertionConsumer_jsp.java:360) org.apache.jasper .runtime.HttpJspBase.service(HttpJspBase.java:70) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:393) org.apache .jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320) org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:91) 根本原因

com.sun.identity.saml2.common.SAML2Exception: java.security.PrivilegedActionException: com.sun.xml.messaging.saaj.SOAPExceptionImpl: メッセージ送信に失敗しました com.sun.identity.saml2.profile.SPACSUtils.getResponseFromArtifact(SPACSUtils.java :417) com.sun.identity.saml2.profile.SPACSUtils.getResponseFromGet(SPACSUtils.java:282) com.sun.identity.saml2.profile.SPACSUtils.getResponse(SPACSUtils.java:174) org.apache.jsp.saml2 .jsp.spAssertionConsumer_jsp._jspService(spAssertionConsumer_jsp.java:183) org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) org.apache .jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:393) org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320) org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:91) note ルートの完全なスタック トレース原因は Apache Tomcat/6.0.14 ログで確認できます。

この例外について誰か助けてください。セットアップでのエラーと、この問題を解決するための可能な解決策を教えてください。

前もって感謝します、

WIF3.5とws2007FederationHttpBindingバインディングを使用する.NET4.0でのWCFサービスがあります。現在、セルフホストサービスとして（正常に）実行されていますが、IIS7.5で実行することをお勧めします。しかし、私はそれを動作させることができません。

私はこれについて深い知識や経験を持っていないので、セルフホスティングで機能する構成をweb.configにコピーするだけでこれに着手しました。IISホスティングの場合は追加が必要と思われるが、セルフホスティングの場合は追加が必要と思われることを除いて、これらはほぼ同じですbehaviors\servicebehaviors\behavior\serviceCredentials\serviceCertificate（理由はわかりません）。クライアント構成は、両方のサービス設定で同じです（エンドポイントアドレスを除く）。セルフホストサービスとIISホストサービスのテストは同じマシンで行われ、VS開発サーバー、IIS Express、および通常のIISでIISホストサービスを試しました。クライアントはこの同じマシン上にあります。STSは別のマシン上にあります。

関係する3つの（x509）証明書があります。サービスの証明書とSTSが使用する署名証明書。どちらも自己署名ルート証明書の下にあります。DefaultAppPool（Webサービスがホストされている場所）は、両方の証明書にアクセスできます。私の知る限り、SSLは関係していません。

IISでホストされているサービスを実行し、メタデータを要求できます。実際にリクエストするとエラーが発生します。クライアント側のエラーはかなり一般的なようです。

クライアントのsvcトレースログはほとんど同じことを示しています。

サーバーエラーはエラーをスローしませんが、svcログはこれを明らかにします：

sts.public.example.comは、STSの署名証明書です。このcertificateValidationModeをどこに配置するのか、IISでなぜ異なるのかわかりません。

IDモデルにはカスタムissuerNameRegistryとclaimsAuthorizationManagerがあり、サービス動作にはserviceAuthorizationManagerがありますが、エラーが発生する前にヒットすることはありません。したがって、サーバーがクライアントから署名付きトークンを受信し、IIS自体が何らかの理由で証明書の検証に失敗した場合にエラーが発生する可能性があります（ランダムな推測）。

設定ファイルとコードサンプルを提供しますが、正確に何が関連しているか、何が関連していないかわからないため、すべてかなり多くなりますが、説明が必要な場合は、できるだけ早く追加します。

私は可能な限りcertificateValidationと失効チェックをオフにしてみましたが、ほとんど理解できない多くの設定を無益にいじりました。この投稿はしばらくは希望に満ちているように見えましたが、提案された解決策がどこに当てはまるかはわかりません。日付を考えると、もはや関連性がない可能性があります。

誰かが私にソリューションの方向性を示したり、セルフホストサービスとIISホストサービスのセットアップ/構成要件の違いを説明したりできれば、非常に役立ちます。

基本的に、私が興味を持っているのは、複数のリージョンで WSO2 API マネージャーをセットアップすることです。アジア、アメリカ、ヨーロッパなど。一部の API は各リージョンのデータセンター内にデプロイされますが、他の API は特定のリージョン内にのみデプロイされます。

理想的には、すべてのリージョン (特定のリージョンのサーバーでのみ使用できるものを含む) にデプロイされている API を確認できる単一の WSO2 API ストアが必要です。

利用可能な API を見つけるために、API ユーザーが各 API Manager やそのストアについて知る必要はありません。むしろ、API Manager ストアの 1 つ (理想的には自分の地域のストア) について知っていれば、利用可能な API を見つけて、別の地域の API を使用する際のレイテンシーに対処するかどうかを決定できます。

したがって、あるリージョンで API Manager パブリッシャーを使用して API を公開する場合、その API 情報を各 API Manager ストアにフェデレートしたいと考えています。

これは可能ですか？その場合、API メタデータ フェデレーションを使用するように API Manager を構成する方法に関するドキュメントはありますか?