問題タブ [federation]

私のチーム開発環境はローカルデータベース（SQL Server）に基づいているため、アプリケーションをSQLAzureフェデレーションに基づくように移動する必要があります。ローカル環境でSQLAzureフェデレーションを「エミュレート」する方法はありますか？それとも、開発環境を変更する必要がありますか？

WS2007FederationHttpBinding を使用する WCF サービスから生成されたサービス参照を持つ WinForms アプリがあります。以下が機能しない理由がわかりません。

私の WinForms アプリは、BearerKey タイプのトークンを処理するように設定された Thinktecture.IdentityServer を使用する WCF サービスを呼び出しています。

クライアントから有効なアクセス トークンを取得し、次の呼び出しを行います。

サービス参照用の winforms クライアント app.config は次のとおりです。

サービス呼び出し (svcRef.GetClaims()) を実行しようとすると、次のエラーが発生します。

「セキュリティ トークン発行者のアドレスが指定されていません。ターゲット ' https://identity.MyCo.com/issue/wsfed 'のバインディングで明示的な発行者アドレスを指定する必要があります。または、資格情報でローカル発行者アドレスを構成する必要があります。 ."

このエラーは不完全で紛らわしいですが、設定で発行者が指定されているようです!

最後に、WCF サービスと Identity サービスが有効であることはわかっています。これは、カスタム ChannelFactory を使用してすべて正常に機能し、トークンを適用するのとまったく同じ方法を使用しているためです。

var channel = factory.CreateChannelWithIssuedToken(token);

しかし、私の要件は、生成された ServiceReference を使用することです。:(

tenantidこれは、SQLAzureフェデレーションでフェデレーションするすべてのテーブルに含まれている必要があることを理解しています。tenantidしかし、本当に外部キー制約自体を+に変更する必要がありますactualPrimaryKeyか？actualPrimaryKeyまたは、実際の外部キー制約の唯一のフィールドとしてを保持できますか？

「それに加えて、フェデレーションテーブルを参照する外部キー制約を含むテーブルもTenantId追加する必要があり、フェデレーションテーブルになる必要があります。たとえば、Ordersテーブルがある場合に想像してみてください。このブログ投稿で「フェデレーションテーブルを作成する」 。

現在、SharePoint アプリケーションのみに使用されている WIF (.NET 4.0) に基づくカスタム STS を使用しています。セキュリティ トークンの有効期間が 10 時間 (既定の有効期間) であることを除いて、期待どおりに動作する HTTP モジュールに設定されたスライド有効期限コードがあります。

最初は、これは SPSecurityTokenServiceManager で設定できると思っていました。しかし、これは何も変わりませんでした。(PowerShell スニペット)

SessionSecurityTokenHandler.DefaultLifetime は読み取り専用で 10 時間に設定されているため、設定できません。

SecurityToken.ValidTo には、セッターではなくゲッターしかありません。

FederatedAuthentication.SessionAuthenticationModule.CreateSessionSecurityTokenで、デフォルトの ValidTo プロパティが ValidFrom + デフォルトのトークンの有効期間に設定されていることにも気付きました。SecurityToken.ValidTo を設定する唯一の方法は、セキュリティ トークンを作成するときです。これは、カスタムの SecurityToken クラスを実装する必要があるということですか、それともトークンの作成を傍受できる WIF スタックのどこかにあるのでしょうか? これまでのところ、次のイベント ハンドラーしか見つからなかったようですFederatedAuthentication.SessionAuthenticationModule.SessionSecurityTokenCreatedが、この時点でトークンは既に作成されており、そこからトークンにアクセスできますが、予想どおりSecurityToken.ValidToプロパティはゲッターにすぎません。

同様に、<microsoft.identityModel />構成セクションにはこの設定がないようです。persistenLifeTime 設定がありますが、これはディスクに書き込まれる Cookie のみです。

また、暗号化/復号化をサーバーに依存しないようにするために、暗号化には証明書が使用されます。これを行うには、フェデレーション プロバイダーの Global.asax にあるセッション セキュリティ トークン ハンドラーをプログラムで追加します。SecurityToken.ValidToをカスタマイズする必要がある場合、カスタム セキュリティ トークン ハンドラー クラスを作成する必要があるのでしょうか、それとも現在 Global.asax でどのように行っているのか、他の場所を探す必要があるのではないかと考えているため、これについてのみ言及します。問題を解決するにはSecurityToken.ValidTo？

カスタム securityTokenHandler を作成すると、有効期間を指定できることがわかりますが、これは上記の Global.asax で試したもののように見えます、sessionHandler.TokenLifetime = ...

これを設定するための明らかな何かが欠けていると思いますか、それとも必要なものを得るためにカスタマイズする唯一の行動SecurityToken.ValidToですか?

テーブルにorCustId型の主キー ( ) があるとします。が奇数か偶数かに応じて、このテーブルを連合テーブルに分割したいと考えています。すなわちintlongintOrderId

Federated 'primary key' =(Fed_key, CustId)ここOrderIdで、タイプはintor longintandですFed_key= 0CustId==even の1場合、CustId==odd の場合。

例えば：

これにより、基本的に 2 つのフェデレーション メンバー (別名パーティション) が得られます。後で、追加のパーティションのために Fed_key を (1,3,5)、(2,4,6)、および (7,8,9,0) にグループ化することがあります。5 つ以上のパーティションが必要になるとは考えていません。

質問: 上記のロジックを Azure SQL に表現​​するにはどうすればよいですか? フェデレーションの作成中またはフェデレーション テーブルの作成中に行う必要があると思います。

私は MVC4 c# を使用しており、自家製のセキュリティ トークン サービス (STS) を組み込んでいます。ユーザーが実際の Web アドレスを呼び出すと、STS ログインに受動的にリダイレクトされます。認証に成功すると、目的の場所にリダイレクトされます。これは、sts へのリダイレクトの URL ですべて urlencoded されています。

ログアウト時に、次を呼び出します。

私たちのアプリのデスクトップ バージョンでは、すべてがうまく機能しているようです。ユーザーは STS ログイン ページに戻り、URL には wlogin1 (および他の多くのもの) が表示され、ユーザーは問題なく再度ログインできます。URL は、最初に STS にリダイレクトされたときとまったく同じです。完璧です、これが私が欲しいものです。

ちなみに、まったく同じドメイン/コントローラー/メソッドを使用するモバイルでは、jQueryMobile と異なる部分ビューのみを使用すると、ログアウトが機能しているように見え、ユーザーは STS ログインに戻ります。ただし、今回の URL には、ログアウトに使用されたモバイル actionLink から実際に呼び出されたドメイン/コントローラー/メソッドのみが表示されます。ユーザーが再度ログインしようとすると、このリンクは sts ログインに適していないため、ログインは常に失敗します。

これを修正する方法についての考え、または何が問題なのですか? 説明が必要な場合はお知らせください。ありがとう！

adfsを使用してクレームベースの認証を構成したSharepointがあります。ADFSは、サードパーティのクレームプロバイダーの信頼を使用するように構成されています。したがって、ユーザーがSharePointにアクセスしているとき、ユーザーはadfsを介してサードパーティのIDプロバイダーのログインページにリダイレクトされます。このIDプロバイダー（IdP）は、saml2トークンをadfsに返し、adfsはユーザーをSharePointにリダイレクトします。

問題は、サードパーティのIdPが特定のsaml属性（クレーム）のみを返すように構成されていることです。この特定の属性を理解するようにADFSを構成する必要があります。

カスタムsaml属性は次のようになります。

このクレームをADFSで使用して、SharePointに送信するにはどうすればよいですか？

ありがとう。

Azure SQL フェデレーションを使用してユーザーを保存しています。この記事で読んだように、分散フェデレーション キーを生成する最善の方法は、GUID を使用することです。ユーザーに GUID を表示するのは人間に優しくないと思うので、ユーザーにも 1,2,3,4,5 などの ID を付けてもらいたいと思います。現在、フェデレーション ルート データベースに 1 つのテーブルを作成して、シーケンシャル ID とフェデレーション キーを格納することを計画しています。または、それを達成するためのより良いアプローチはありますか?