問題タブ [saml]

以下のSOAPヘッダーの例から saml 2.0 アサーション ノードを追加しようとしています。

私は何日も研究してきましたが、WCF でこれを行う簡単な方法を思いつくことができないようです。Web サービスは Glassfish で実行されており、soap 1.1 です。パッケージ化されたすべての wcf バインディングを使用してみましたが、動作させることができませんでした。私は MessageInspector を使用する道を歩み始め、それを書きましたが、もっと良い方法があるに違いないことに気付きました。確かに、WCF は saml 2.0 アサーションを挿入する方法を提供します。私はカスタム バインディングの作成で最も進歩しました。soap ヘッダーでタイムスタンプ ノードと署名ノードを取得できましたが、一生の間、saml アサーションを理解することはできません。何か案は？

Ruby/Rails を使用して SAML ゲートウェイに取り組んでおり、元のサービスの x509 証明書に対して着信 SAML 応答のxml デジタル署名を検証するコードを作成しようとしています。

私の問題: 署名は、ハッシュされてから署名された XML の正規化されたバージョンに依存しており、specごとに XML を正規化する ruby​​ lib/gem を見つけるのに苦労しています。rubyforge で混乱している超古い宝石を見つけましたが、nokogiri のようなものがこの種の機能をサポートしていればもっと興味があります (nokogiri docs から、そうではありません)。

私は広範囲にグーグル検索しましたが、自分のバージョンを作成したり、既存の c14n-r ライブラリを作り直したりする前に、誰か良い洞察を持っているかどうかを確認するために、ここで尋ねてみようと思いました。

SAML 1.1 を使用した Web SSO をサポートするサードパーティ プログラムがあります (つまり、サービス プロバイダーとして機能する準備ができています)。

Active Directory 資格情報に基づいて、イントラネット ユーザーにこの SSO を実装したいと考えています。つまり、ユーザーは既にシステムにログオンしているので、これらの資格情報を使用して SSO を容易にします。ただし、どこから始めればよいか、少し圧倒されます。

私の最初の考えは、IIS が "統合 Windows 認証" 機能を提供するため、IIS / Active Directory は ID プロバイダーとして簡単に機能できるというものでした。現在のユーザー ID を抽出し、SAML 応答を構築し、この SAML 応答でユーザーをサービス プロバイダーにリダイレクトして SSO を完了する統合認証を必要とする .NET Web アプリを作成するだけでよいと思います。

しかし、私の問題は、このSAML応答、関連するX.509証明書などを作成する方法がまったくわからないことです.この SAML 応答は比較的簡単です。

この SSO はイントラネット ユーザーのみが使用するため、他の企業やドメインとのフェデレーションについて心配する必要はありません。

新しい信頼できるIDトークン発行者（別名IDプロバイダー）を追加するためのSharepoint 2010 APIを知っている人はいますか？

PSコマンドレットNew-SPTrustedIdentityTokenIssuerを使用してこれを行うことができますが、C＃コードから行う必要があります。

Python (Pylons を使用) で記述された Web サイトを、既存の SAML ベースの認証サービスと統合したいと考えています。SAML について読んだところ、IdP (このシナリオでは既に存在しています) が XML ドキュメントを (ブラウザーの投稿を介して) サービス プロバイダー (私が実装している) に送信すると思います。サービス プロバイダーは、この XML を解析し、ユーザーの身元を確認する必要があります。

この機能を実装する既存の Python ライブラリはありますか?

ありがとうございました、

OpenAM（以前のSun OpenSSO）でJavaEEソフトウェアプラットフォーム全体を保護することを検討しています。アプリケーション（WebLogic ASで実行）は、JEEポリシーエージェントとWS-SecuritySAMLトークンプロファイルを使用したWebサービスによって保護されます。

私の理解では、SSOTokenManagerを使用すると、アプリケーションコードでOpenAMのSSOトークンを取得できます。ただし、 SAMLで保護されたWebサービスを呼び出すには、OpenAMからSAMLアサーションを取得する必要があります。誰かがそうする方法を教えてもらえますか？

また、Webサービスコードでは、SAMLアサーションからSSOトークンを取得する必要がある場合があります。それは可能ですか？

SAMLトークンに署名する必要がありますか？スキーマによると、署名要素は必要ないようです。

SAMLトークンに署名する代わりに、コンシューマーが信頼できるコンシューマーであることを確認するために、クライアント証明書（双方向SSL）が必要になります。これは実行可能なオプションですか？

私はSAML1.1アサーションコンシューマーサービスのテストハーネスに取り組んでいます。テストでは、署名されたSAMLResponseを生成し、Base64でエンコードされたACSに送信する必要があります。ACSは、X509公開証明書を使用して署名されたメッセージを検証できる必要があります。

SAMLResponseを構築したり、必要なアサーションを追加したりすることはできます。しかし、オブジェクトに署名しようとすると、問題が発生します。これが私の現在のコードの抜粋です：

エラーは最後から2番目の行で発生します。コンソールに次のように表示されます。

慣習的でも安全でもありませんが、このスレッドのために、使用している公開証明書と秘密鍵を提供しています。もちろん、問題が解決したら、新しいものを再作成します。:)

ありがとう！

Web アプリケーションとサービス用に STS-IP サーバーを実装する必要があります。サーバーは、次のシナリオで SAML トークンを発行する必要があります。

1. ビジネス パートナーは、アプリケーションに必要なクレームを含む SAML トークンに変換される SAML トークンを送信します。このトークンは、当社の Web アプリケーションおよびサービスにアクセスするために使用されます。
2. 私たちの公開アプリケーションは、(フォーム認証を介して) ユーザーがサインインし、SAML トークンを使用して Web アプリケーションとサービスにアクセスする必要があります。
3. クライアント (STS 信頼なし) は、STS-IP サーバーで認証し、SAML トークンを取得し、そのトークンを使用して WCF サービスにアクセスする必要があります。

3 つのシナリオすべてで、アプリケーションとサービスが使用する SAML トークンにカスタム クレームが必要です。ユーザーを特定したら、バックエンド システムでそのユーザーの承認を検索し、クレームを添付します。

これらのシナリオでは、バックエンド認証ストアは、認証が Active Directory に格納され、承認がデータベースに格納されるカスタム実装であると想定できます。

そこで、Windows Identity Framework などを使用してカスタム STS-IP サーバーを作成する必要があると考えました。しかし、時間がかかる可能性があるため、これを行うべきではないことも読んでいます。

市販の STS-IP サーバーを使用できますか? 私が見たものはすべて、あるシステムから別のシステムへのマッピング (SAML から SAML または AD から SAML) です。

プロダクション対応の STS-IP を構築するのに「長い時間がかかる」のはなぜですか? WIF を使用して非常に簡単に作成しましたが、これを行うリスクを理解していないと思います。

SAML トークンを使用して WCF Web およびデータ サービスにアクセスする必要がある WinForms および ASP.Net アプリケーションがあります。

Windows Identity Foundation (WIF) を調べて、WCF サービスが STS-IP からの SAML トークンを使用できるようにしました。

クライアントで、STS を呼び出して SAML トークンを取得し、そのトークンを WCF サービスに渡しますか? もしそうなら、トークンを取得して WCF に渡すにはどうすればよいですか?

また

クライアントは、ユーザーの資格情報 (ユーザー名/パスワード) を WCF Web サービスに渡しますか? WCF Web サービスは SAML トークンを取得して処理を行いますか?

私の理解では、WCF Data Services は REST を使用しています。では、SAML は REST とどのように連携するのでしょうか?