問題タブ [sts-securitytokenservice]

クレームベースのセキュリティ（またはフェデレーションセキュリティモデル）のトピックについて調査した後。CardSpaceを例として使用する多くの例に出くわしました。私が読んだ主な記事は、この主題について非常に優れた説明を提供しており、 Zermattと呼ばれるフレームワークに関するMicrosoftのPDFでした。

私が調査しているクレームベースのセキュリティアーキテクチャは、STS認証ブローカーをSTS承認ブローカーと組み合わせて実装するのと同じです。このように、新しいサービスを作成するときに必要なのは、サービスが承認ブローカーによって発行されたクレームのみを受け入れるようにすることだけです。また、記事に記載されているように、Authorization Brokerは、AuthenticationBrokerによって発行されたクレームのみを受け入れます。

それが設定されると、クライアントが新しいサービスを使用しようとするときはいつでも、認証ブローカー で認証し（認証されたクレームを発行）、次に 承認ブローカー で承認される（承認されたクレームを発行する）必要があります。

これはすべて問題なく、ダンディであり、アーキテクチャは明確ですが、STSを実装する方法が正確にはわかりません。前述したように、Web上のほとんどの（すべてではないにしても）例はCardSpaceの使用方法を示していますが、認証スキームをバックアップするデータベースがある場合、それは正確には機能しません。

サンプルシナリオ

代替テキストhttp://img512.imageshack.us/img512/8329/claimsbasedsecurityza6.jpg

Webサービスに承認、認証、および監査を提供するための最良の方法を探しています。DMZにデプロイされたWebサービスゲートウェイアプライアンスを使用し、ファイアウォールの背後にユーザーストアとしてLDAPインスタンスがあります。どのように構築する必要がありますか？

乾杯

KA

更新 以下の回答で指摘されているように、LDAPは監査には理想的ではありません。現在、お客様の使用状況を監査できるため、この機能のCRMシステムへの呼び出しを検討しています。

STSから発行されたSAMLトークンを使用して、WCFとJavaが相互に通信できるようにしようとしています。双方が標準、WS-Security、WS-Trust、WS-Policyなどに準拠しているという事実にもかかわらず、それらは互いに通信していないようであり、どちらか一方が不可解な例外をスローするか、セキュリティヘッダーを無視します。

.NET 3.5、MS側でWCFフェデレーションバインディング、Java側でAxis2 / Rampart/Rahasを使用しています。

誰かがこの仕事をすることができたことがありますか？

Secure Conversation で保護された WCF サービス (FooService) があります。FooService を呼び出すクライアントにトークンを提供する STS (StsService) もあります。トークンは 15 分間有効です。STS はカスタムビルドです (ジュネーブではありません)。クライアントには、クライアントの有効期間中に複数のサービスでトークンを再利用できるようにするためのカスタム WCF 拡張機能もあります。

FooService へのチャネルで「Open」が呼び出されると、クライアントは STS からトークンを要求します。STS は正常に機能し、トークンを発行して、有効な RSTR をクライアントに返します。クライアントは、デシリアライズされたトークンを (GenericXmlSecurityTokenオブジェクトとして) 受け取ります。

問題：

クライアントがインスタンスを受け取るとき、GenericXmlSecurityToken有効期限が正しく設定されていません。RSTR に<saml:Conditions>は、有効な有効期限を持つ SAML タグがありますが、何らかの理由で、WCF はタグを解析して の値を使用していないようですNotOnOrAfter。

STS (サーバー側) のバインディングは次のとおりです。

クライアント側のバインディングは次のとおりです。

正しい有効期限を表示するためにいくつかのことを試しました...しかし、何もうまくいかないようです。カスタムシリアライザーを実装しようとしました。の痕跡が見つかりませんでし<saml:Conditions>た。また、STS を直接呼び出してから、トークンを WCF に戻そうとしました。このソリューションは機能し、STS を直接呼び出して、応答を有効な SecurityToken に逆シリアル化しましたが、WCF に返されると、チャネルでの "Open" 呼び出しが 2 分後にタイムアウトします。エラーメッセージもトレースログにも何もありません...

クライアント側では、トークンに SAML アサーションがあります。: を見ると、次のように表示され((GenericXmlSecurityToken)token).TokenXml.InnerXmlます。

.NET Framework ソースをステップ実行しようとしましたが、Windows 7 の VS 2008 SP1 では実行できません。動作しません! アーグ！

何か案は？

ジュネーブは、顧客から提示された複雑な認証および SSO の問題を解決できる可能性があるため、非常に熱く、悩まされています。Geneva がカスタムおよび SQL ベースの属性ストアをサポートしていることを理解しています。ただし、カスタムおよび SQL ベースのアカウントストアのサポートが必要です。

残念ながら、ベータ 2 でサポートされていないことを除いて、リリース時にサポートされるという確固たる確認または否定 (23 ページ) を見つけることができません。これはそうなることを願っていますが、もっとよく知っておく必要があります。

質問: この問題を最終的に解決できる人はいますか?

私はWindowsIdentityFoundation（WIF）を簡単に調べましたが、自分のサイトが他のサイトからのログインを受け入れると言えるように見えます。たとえば、GmailまたはLiveIDアカウントを持っている人なら誰でも、私のアプリケーションのスレッドにコメントを投稿できます。コメントの投稿ボタンをクリックすると、ユーザーはプロバイダーにリダイレクトされ、そこでログインします。その後、ユーザーは私のサイトで投稿することを許可されます。

誰がSTSメカニズムを提供し、どのURLがWIFにフィードするのかを知るにはどうすればよいですか？

少しグーグルでLiveIDを見つけましたが、FacebookサービスやYahooなどを見つけたい場合はどうすればよいですか？STSプロバイダーとそのさまざまな呪文を検索することは、それほど多くはありません。

どうもありがとう

ベータ版はかなり最近リリースされました。これには、後でこれを表示する人のために、グーグルやフェイスブックなどのいくつかのSTSプロバイダーが含まれています。

OpenSSO を ID プロバイダーとして使用している場合、STS ダンスを実行するように .NET 証明書利用者を構成するには (つまり、FedUtil.exe を使用して) 何をすればよいですか?

OpenSSO の WS-Trust クライアント サンプルを実行したので、OSSO は良好な状態にあり、次のステップに進む準備ができていると思います。

FedUtil.exe の「既存の STS を使用する」ウォールにいます。OpenSSO の STS WS-Federation メタデータ ドキュメントはどこで入手できますか? 私はもう試した：

• the.osso.server:port/opensso/sts
• the.osso.server:port/opensso/sts?wsdl
• the.osso.server:ポート/opensso/sts/mex
• the.osso.server:port/opensso/sts/mex?wsdl
• the.osso.server:port/opensso/sts/soap11
• the.osso.server:port/opensso/sts/soap11?wsdl

運がない。

ご協力いただきありがとうございます、

タイラー

以下のシナリオの構成に苦労しています。

• WCF サービスにセキュリティ トークンを提供するカスタム WCF/WIF STS (RP-STS) があります。
• RP-STS は「アクティブな」STS です
• RP-STS はクレーム変換 STS として機能します
• RP-STS は、多くの顧客固有の ID プロバイダー STS (IdP-STS) からのトークンを信頼します
• WCF クライアントがサービスに接続するとき、ローカルの IdP-STS で認証する必要があります。

私が行った読書では、これを Home Realm Discovery と呼んでいます。HRD は通常、Web アプリケーションとパッシブ STS のコンテキスト内で説明されます。私の質問は、私の状況では、IdP-STS エンドポイントを選択するためのロジックは RP-STS または WCF クライアント アプリケーションに属しますか?

RP-STS に属していると思いましたが、これを実現するための構成がわかりません。RP-STS には単一のエンドポイントがありますが、エンドポイントごとに複数の信頼できる発行者を追加する方法がわかりません。

これに関するガイダンスは非常に高く評価されます（Googleにとって有用なキーワードがありません。）また、私が離れている場合は、別のアプローチを提供してください。

_{(ソース: marshaledthoughts.com )}

Webアプリケーションがあり、Windows IdentityFoundation3.5を使用するカスタムSTSを使用してセキュリティで保護する必要があります。すべての例には、シーンにパッシブSTSがあります。なぜこれが必要なのですか？また、WIFを使用して作成されたActive STS 9Customを直接呼び出すとどうなりますか？

私はWIFを探求し始めましたが、次のことに疑問があります。

Windows Identification Foundation [WIF]で、セキュリティトークンサービス[STS]を調べて、フェデレーション認証トークンが保存されている場所を知りたいですか？

私はそれがブラウザのクッキーにあると思います、もしそうなら、誰かがそれについての洞察を私に教えてくれますか？