問題タブ [kentor-authservices]

Web フォーム アプリケーションに Service Provider を実装するために Kentor.AuthServices を使用しています。SP が idP にリダイレクトされ、SAML が idP に POST されます。ただし、再度 idP にリダイレクトされます。一部の構成が正しくないと推測していますが、追跡できません。

Kentor Auth Services を使用しています。Kentor サンプル Idp を使用して SAML 統合をテストすると、エラーが発生します

ID1035: SAML アサーションに AudienceRestrictionConditions が含まれていませんでした。AudienceRestrictionConditions なしでアサーションを受け入れるには、SecurityTokenHandlerConfiguration.AudienceRestriction.AudienceMode を AudienceUriMode.Never に設定します。

このエラーが発生する理由を誰かに教えてもらえますか。また、Audience というフィールドも表示されます。そこに何を追加する必要があるかわからないので、空白のままにしました。「Never」を追加しようとしましたが、ソースを確認すると、Uri が必要なようです。

誰かがこの分野で何を与える必要があるか教えてもらえますか?

サービス プロバイダーとして、IDP (ADFS) から次のクレームを取得しています。

• http://kentor.se/AuthServices/LogoutNameIdentifier
• http://kentor.se/AuthServices/SessionIndex

AuthServices コードベースでは、AuthServicesClaimTypes.ClaimTypeNamespace がhttp://kentor.se/AuthServicesに設定されています。この名前空間は SP ( https://mysite/AuthServices ) を反映する必要がありますか?

また、identityProviders 構成セクション (web.config) では、logoutUrl を設定していませんが、Idp から LogoutNameIdentifier クレームを取得しています。シングル ログアウトはサポートされていません。

どんな提案でも大歓迎です。

ありがとうございました。

TokenLifetime は Kentor AuthServices (SP によって開始される SSO) でどのように処理されますか? WebSSOLifetime とは異なる方法で処理する必要があると想定しました。

• SP は請求を行う必要があります: http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration from IDP (ADFS)?
• Kentor AuthServices は IDP からの有効期限の請求を処理しますか?

ご協力ありがとうございました。

Kentor.AuthService.Idpプロジェクトを出発点として使用しています。

シングル サインオンしようとしている SAML 対応のサービス プロバイダーでは、次の属性がメタデータ ファイルの一部である必要があります。

ログイン ID、パートナー ID、プラットフォーム、ユーザー メール

これらを既存のメタデータに追加したり、これらを含む新しいメタデータを作成したりするにはどうすればよいですか?

サービスプロバイダーのドキュメントには、具体的に次のように記載されています。

属性のリストは、メタデータ ファイルと生成するアサーションに含まれている必要があります。

これらの属性をメタデータに含めることは、サービス プロバイダーの要件を満たしていますか? それとも、これらの属性をアサーションに含めることは、メタデータに含めることとはまったく別のタスクですか?