問題タブ [kentor-authservices]

Kentor は、SP からシングル サインアウトを開始するための実装を提供します。ただし、最新の Kentor アセンブリでは、ログアウト リクエストを送信するためのバインディングは常に HttpRedirect です。

ただし、ID プロバイダーは、HttpRedirect バインディングで送信されたログアウト リクエストを拒否し、リクエストを HttpPost で送信することを望んでいます。

Kentor の構成セクションに、ログアウトのバインディングを構成するオプションがありません。Kentor コードに影響を与えずにログアウト バインディングを変更する方法はありますか?

Web アプリケーションの現状: AngularJs、MVC5 で設計された既存の Web アプリケーションがあります。カスタム データベースに対して認証が行われています。

SignIn : Microsoft.AspNet.Identity.UserManager およびその他のソース クラスをオーバーライドして、データベースと通信し、ユーザー関連の情報を取得しました。結果を System.Security.Claims.ClaimsIdentity に追加します。

"Microsoft.Owin.Security.IAuthenticationManager.SignIn(params System.Security.Claims.ClaimsIdentity[] ID) に渡す

SSO が必要なもの: 2 つの新しいベンダーを Web アプリケーションに統合することを計画しているため、認証を SAML 2.0 トークンを使用した SSO に移行したいと考えています。

ID プロバイダー: F5 Big Ip に ID プロバイダーを実装しています。これは、ログイン ページを提供して認証を行い、saml2 トークンを生成します。Web アプリケーションはサービス プロバイダーとして構成されます。Web アプリケーションにリダイレクトすると、saml2.0 トークンが渡されます。

MVC .net フレームワーク 4.5.2 での SAML2.0 の使用 アプリケーションで必要なのは、saml2.0 トークンを使用して既存の認証パイプラインと統合することだけです。 やるべきこと: ID プロバイダーからのメタデータには、saml2.0 トークンを復号化するための公開鍵と、メタデータ ファイルの署名に使用される鍵があります。

私の仮定は、SAML 2.0 トークンの要求を解析し、トークンが有効かどうかを確認し、属性からのデータを使用して詳細をデータベースに問い合わせ、結果を「System.Security.Claims.ClaimsIdentity」に挿入し、既存のログイン操作。原則を構成する方法を理解する必要があります..そして、まだ Microsoft.AspNet.Identity.UserManager が必要ですか。

調査: ビジュアル スタジオには、vs2013 から存在しない ID とアクセス ツールがありました。Windows ID 基盤に関する記事とクレーム ID の原則を確認しました www.codeproject.com/Articles/504399/Understanding-Windows-Identity-Foundation-WIF

saml2.0トークンはサポートしていますが、saml2プロトコルはサポートしていません。

使用が提案されたサードパーティ製ツールは次のとおりです http://nzpcmad.blogspot.co.nz/2013/06/saml-saml-connectivity-toolkit.html

ツールのいずれかを使用する必要がありますか? F5 bigip で構成された IDP があり、.net で設計されていないため

私が見つけた別の良い記事 http://www.primaryobjects.com/2013/08/08/using-single-sign-on-with-windows-identity-foundation-in-mvc-net/

また、saml2.0 トークンを処理するための Saml2SecurityTokenHandler に関するいくつかの提案も見ました。

誰かが私の既存の Web アプリに統合するためのより簡単なソリューションを教えてくれれば幸いです。saml2.0 トークンを使用して、既存のクレーム ベース認証と統合するだけです。

エラー: 指定されたネットワーク パスワードが正しくありません。

説明: 現在の Web 要求の実行中に、未処理の例外が発生しました。エラーの詳細とコード内のどこでエラーが発生したかについては、スタック トレースを確認してください。

例外の詳細: 指定されたネットワーク パスワードが正しくありません。

理由: パスワードで保護された証明書 '.pfx' のみをエクスポートできます。私が理解しているように、「Kentor AuthServices」はパスワード保護をサポートしていません..

この問題は、以下のリンクに従ってクローズされていると言われてい ます https://github.com/KentorIT/authservices/issues/457

.Net エラー: 'X509KeyStorageFlags.MachineKeySet' フラグが設定されているためです..

私がしたことは、.pfx ファイルをソリューションに保存し、サーバー証明書ファイルのパスを指定することだけでした。エラーを通過するために他に何かする必要がありますか?

よろしくお願いいたします。

ストアを使用して、.NET Mvc Web アプリケーションでサービス プロバイダー証明書を構成します。

use="Both" が構成されている場合 -> 暗号化/復号化の有効な証明書ではないことを示しています

ここに画像の説明を入力

MVC アプリケーションで SAML 2.0 を実装するための AuthServices ライブラリです。メタデータや SSO の URL など、ID プロバイダーからすべての詳細を提供しました。しかし、サービス証明書とは何かを理解できません。ここに何を含める必要がありますか?App_Data フォルダーから追加する必要がある証明書はどれですか?

現在、Kentor.AuthServices.Tests.pfx証明書があります。この証明書の代わりに何を置き換える必要がありますか? kentor.authservices ライブラリの owinミドルウェア認証を使用しています。app_start c#コードを以下に添付しました。

前もって感謝します。

こんにちは、kentor 認証サービスを使用しています (Kentor 認証サービスは、ASP.NET および IIS Web サイトに SAML2P サポートを追加するライブラリであり、Web サイトが SAML2 サービス プロバイダー (SP) として機能できるようにします)。現在、Google を使用しています。アプリケーションをテストするための ID Privider として(owin midddleware を使用した認証)。Google ID プロバイダーもセットアップしました。しかし、アプリケーションを実行するとエラーが発生します。

「400.それはエラーです。無効なリクエスト、リクエスト URL の無効な idpId、SP 側で SSO URL が適切に構成されているかどうかを確認してください。私たちが知っているのはそれだけです。」

私は SingleSignOnServiceUrl= https://accounts.google.com/o/saml2/idp?idpid=xxxxxxxxxを使用しました

DiscoveryServiceUrl= https://accounts.google.com/o/saml2/idp?idpid=xxxxxxxxx

上記の設定は正しいですか？

以下に App_start 構成を添付しました。これは Kentor 認証サービス ライブラリからのものです。

Google saml ページにリダイレクトすると 400 エラーが発生するのはなぜですか? 前もって感謝します

これは私のweb.configファイルです

しかし、サインイン後にローカルホストにリダイレクトしているときにエラーが発生します

「/」アプリケーションでサーバー エラーが発生しました。

メッセージに InResponseTo "id0dda716c55fd41bd98d4899ca3e14036" が含まれていると予想されましたが、何も見つかりませんでした。

説明: 現在の Web 要求の実行中に未処理の例外が発生しました。エラーの詳細とコード内のどこでエラーが発生したかについては、スタック トレースを確認してください。

例外の詳細: Kentor.AuthServices.Exceptions.Saml2ResponseFailedValidationException: メッセージに InResponseTo "id0dda716c55fd41bd98d4899ca3e14036" が含まれていると予想されましたが、何も見つかりませんでした。

ソース エラー:

現在の Web 要求の実行中に未処理の例外が生成されました。例外の発生元と場所に関する情報は、以下の例外スタック トレースを使用して特定できます。

スタックトレース：

[Saml2ResponseFailedValidationException: Expected message to contain InResponseTo "id0dda716c55fd41bd98d4899ca3e14036", but found none.]
Kentor.AuthServices.Saml2P.Saml2Response.ReadAndValidateInResponseTo(XmlElement xml, Saml2Id expectedInResponseTo) +295
Kentor.AuthServices.Saml2P.Saml2Response..ctor(XmlElement xml, Saml2Id expectedInResponseTo) +317
Kentor.AuthServices.WebSso.AcsCommand.Run(HttpRequestData リクエスト、IOptions オプション) +869
Kentor.AuthServices.Mvc.AuthServicesController.Acs() +81
lambda_method(Closure , ControllerBase , Object[] ) +87
System.Web .Mvc.ReflectedActionDescriptor.Execute(ControllerContext controllerContext, IDictionary 2 パラメータ) +352 parameters) +280
System.Web.Mvc.ControllerActionInvoker.InvokeActionMethod(ControllerContext controllerContext, ActionDescriptor actionDescriptor, IDictionary
System.Web.Mvc.Async.<>c__DisplayClass42.b__41() +33 System.Web.Mvc.Async.AsyncControllerActionInvoker.EndInvokeActionMethod(IAsyncResult asyncResult) +42
System.Web.Mvc.Async.<>c__DisplayClass39.b__33() + 80 System.Web.Mvc.Async.<>c__DisplayClass4f.b__49() +386 System.Web.Mvc.Async.AsyncControllerActionInvoker.EndInvokeActionMethodWithFilters(IAsyncResult asyncResult) +42
System.Web.Mvc.Async.<>c__DisplayClass2a.b__20() +32 System.Web.Mvc.Async.<>c__DisplayClass25.b__22(IAsyncResult asyncResult) +185
System.Web.Mvc.Async.AsyncControllerActionInvoker.EndInvokeAction(IAsyncResult asyncResult) +38
System.Web.Mvc.<>c__DisplayClass1d.b__18( IAsyncResult asyncResult) +27
System.Web.Mvc.Async.<>c__DisplayClass4.b__3(IAsyncResult ar) +22 System.Web.Mvc.Controller.EndExecuteCore(IAsyncResult asyncResult) +53
System.Web.Mvc.Async.<>c__DisplayClass4.b__3(IAsyncResult ar ) ) +22 System.Web.Mvc.Controller.EndExecute(IAsyncResult asyncResult) +38
System.Web.Mvc.<>c__DisplayClass8.b__3(IAsyncResult asyncResult) +42
System.Web.Mvc.Async.<>c__DisplayClass4.b__3(IAsyncResult ) ar) +22 System.Web.Mvc.MvcHandler.EndProcessRequest(IAsyncResult asyncResult) +38
System.Web.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +657 System.Web.HttpApplication.ExecuteStep(IExecutionStep ステップ、ブール値&完了同期) +146

これは私の SAML 応答です

各テナントが WsFed または OpenIdConnect(Azure) または Shibboleth(Kentor) の独自のメタデータ URl、ClientId、Authority などを定義できるマルチテナント アプリケーションがあります。すべてのテナントは DB テーブルに格納され、以下のように OwinStartup に登録されます。

Db で同じプロバイダー (ADFS、Azure、または Shibboleth) の複数の組織が有効になっていると、エラーが発生します。「app.Map」を拡張してみました。でも失敗しても。また、以下のコードを使用してすべてのプロバイダー (ADFS および Azure) をログアウトしますが、ログアウトも失敗します。

プロバイダーは、組織全体で使用する独自の認証タイプです。

ヘルプ/ガイダンスを探しています。注: 新しいテナントが追加されるたびに、appdomain を再利用しても問題ありません。複雑にするためにパイプラインを動的に再構築する必要はありません。