問題タブ [sts-securitytokenservice]

更新: 構成にエラーはありませんでした! エラーは、証明書を配置しなかったことです。今、私はこのエラーを受け取ります: ID2057: 秘密鍵なしで証明書の X509SigningCredentials インスタンスを構築できません。Parameternamn: トークン :)

このガイドに従って CustomSTS を作成しようとしています: Chris Klug

IIS 7 で customSTS を URL: http://identitymanager.dev/で実行すると、すべてが機能します。ログインすると、customSTS のホーム コントローラーにリダイレクトされます。

しかし、問題は、依存するアプリケーションを使用するときです。

次の URL にリダイレクトされます。

http://identitymanager.dev/?wa=wsignin1.0&wtrealm=http%3a%2f%2fIdentityManager.dev%2f&wctx=rm%3d0%26id%3dpassive%26ru%3d%252f&wct=2013-06-29T20%3a54%3a41Z&wreply =http%3a%2f%2fIdentityManager.dev%2f

そして、次のエラー メッセージが表示されます: サブジェクト名 cn=IdentityManager.dev の証明書が見つかりませんでした

mmc.exeをチェックすると、IdentityManager.dev（私のユーザーアカウント用）という名前の証明書があります。

スタックトレース：

customSTS の web.config は次のとおりです。

そして、ここに私のFederationMetaDataがあります:

そして、これが私の RELYING アプリの web.config です。

依存する FederationMetaData:

2 つの Web アプリケーションと 1 つの STS サービスがあるとします。 1. ユーザーに権限を付与できる管理ポータル。2. ユーザーがそれらの権限に基づいて操作できる販売ポータル。

ここで、有効期限が 8 時間のセキュリティ トークンをセールス ポータルに提供する STS があるとします。トークンには、特にユーザーの特権に関する情報を含むクレームが含まれています。

ここで、管理ポータルでユーザーの権限が削除され、変更がデータベースに保存されたシナリオを想像してください。ユーザーは、まだ有効期限が切れていないセキュリティ トークンを使用して既にセールス ポータルにログインしているため、セールス ポータルは権限が削除されたことを認識しません。

問題は、このシナリオをどのように処理するかです。ここで確認できる唯一の解決策は、STS を完全に削除することですが、これを処理するためのよりスマートな方法を探しています。

この非同期の問題に対するより良いアプローチはありますか?

VS2012 .Net Framework 4.5 を使用して、Identity and Access Plugin を使用して、ローカル STS で WCF サービス アプリケーションを作成しました。私の目標は、ブラウザを使用して認証できるようにすることです。私がこれまでにやったこと：

• WSFAM および SAM モジュールが追加されました。
• Fiddler を使用して、リダイレクトが適切に行われていることを確認しました
• FedAuth[] Cookie が作成されていることを確認しました。

Cookie が作成された直後 (SAM) に、再び STS にリダイレクトされます。ここでループに陥ります。

WCF と Web サービスは私にとってまったく新しいものです。詳しく説明しすぎたら申し訳ありません...

これが私のweb.configです：

フィドラー

レスポンス #10108 - FedAuth Cookie を設定し、リソースにリダイレクトします リクエスト #10109 - 指定された Cookie を使用して、リダイレクトされたリソースにリクエストします。 応答 #10109 - 結果 401、#10111 で再度 STS にリダイレクト

クライアントが X509 証明書を使用して認証できるようにする STS を実装しました。WIF (現在は .NET 4.5 に組み込まれています) には、X509SecurityTokenこのシナリオで完全に機能すると思われるクラスがあります。私の場合、ActAsトークンも渡したいのですが、ActAs トークンは (トークン ハンドラーの別のコレクションによって) 検証されますがX509SecurityToken、この検証は、呼び出し元が秘密鍵を所有していることを証明しません。 、トークンがメッセージ資格情報として使用される場合と同様です。

これを回避する方法はありますか？ActAs トークンが秘密鍵を持っていることを証明するにはどうすればよいですか?

私は、WIF と STS プロバイダーを使用してすべて保護されたいくつかの WCF サービスを使用しています (すべて、すぐに使用できる Microsoft コードとサンプルを使用しています)。これらのサービスはすべて .NET 3.5 を使用して構築され、最近 .NET 4.0 に更新されました。サービスに関連付けられているすべての .dll も 4.0 に更新されています。これらのサービスは、私がフレームワークのバージョンを更新するまで、何年もの間そのままで機能していました。

問題は、STS WCF サービスによって保護された WCF サービスを呼び出すと、STS によって保護された WCF サービスを呼び出したクライアント アプリケーションにトークンが渡された後にエラーが生成されることです。

保護されていない、または誤って保護された障害が相手から受信されました。障害コードと詳細については、内部の FaultException を参照してください。

HResult -2146233087

{"メッセージ内のセキュリティ トークンの処理中にエラーが発生しました。"}

サーバー スタック トレース: System.ServiceModel.Channels.SecurityChannelFactory で1.SecurityRequestChannel.ProcessReply(Message reply, SecurityProtocolCorrelationState correlationState, TimeSpan timeout) at System.ServiceModel.Channels.SecurityChannelFactory1.System.ServiceModel.Security.SecuritySessionSecurityTokenProvider.DoOperation での SecurityRequestChannel.Request (メッセージ メッセージ、TimeSpan タイムアウト) (SecuritySessionOperation 操作、EndpointAddress ターゲット、Uri via、SecurityToken currentToken、TimeSpan タイムアウト) System.ServiceModel.Security.SecuritySessionSecurityTokenProvider.GetTokenCore(TimeSpan) でtimeout) で System.IdentityModel.Selectors.SecurityTokenProvider.GetToken(TimeSpan タイムアウト) で System.ServiceModel.Security.SecuritySessionClientSettings`1.ClientSecuritySessionChannel.OnOpen(TimeSpan タイムアウト) で System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan タイムアウト) で System. .ServiceModel.Channels.ServiceChannel.OnOpen(TimeSpan タイムアウト)
System.ServiceModel.Channels.CommunicationObject.Open (TimeSpan タイムアウト) で System.ServiceModel.Channels.ServiceChannel.CallOpenOnce.System.ServiceModel.Channels.ServiceChannel.ICallOnce.Call (ServiceChannel チャネル、TimeSpan タイムアウト) で System.ServiceModel.Channels. System.ServiceModel.Channels.ServiceChannel.EnsureOpened(TimeSpan タイムアウト) での ServiceChannel.CallOnceManager.CallOnce(TimeSpan タイムアウト、CallOnceManager カスケード) System.ServiceModel.Channels.ServiceChannel.Call(String アクション、Boolean oneway、ProxyOperationRuntime 操作、Object[] ins 、Object[] outs、TimeSpan timeout) で System.ServiceModel.Channels.ServiceChannel.Call(String アクション、Boolean oneway、ProxyOperationRuntime 操作、Object[] ins、Object[] outs) で System.ServiceModel.Channels.ServiceChannelProxy.System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage メッセージ) での InvokeService(IMethodCallMessage methodCall、ProxyOperationRuntime 操作)

[0] で例外が再スローされました。 c:\Projects\Proxy.cs:line 36 の MyProject.Proxy.GetInfo() での GetInfo()

さらに掘り下げると、次のことも示されます。

InnerException.Code.Subcode.Nameプロパティ値として無効なSecurityToken。

そのため、システムの時計に問題があることを示唆する次のことを調べましたが、どれも機能していません。

(SAML を使用する場合) http
://blogs. msdn.com/b/xiaowen/archive/2009/03/26/tip-add-a-clock-skew-to-prevent-some-security-faults.aspx?Redirected=true

これらのサービスでデバッガーにアタッチし、コードをウォークスルーしようとしましたが、原因が見つかりません。これでどこが間違っているのか誰か知っていますか？

編集:興味深いのは、認証作業を行う STS サービスの WIF の難しい部分です! ロギングを有効にしており、以下がキャプチャされます。

.configまた、.svc ファイルを確認するために WCF ログを有効にしましたが、問題を特定するエラー情報は得られませんでした。STS が言うように、「あなたは認証されました。私たちはあなたを渡し、トークンを生成しました。これで完了です!」呼び出し元のクライアントがトークンを気に入らないようです。ただし、フレームワークのバージョンを変更するまで、これは長い間機能していました。私の知る限り、3.5 から 4.0 への大きな WIF の変更はありませんでしたが、WIF がフレームワークに統合された 4.5 で大きな変更がありました。

したがって、すべての承認が機能します。クライアントによって受け入れられているトークンに問題があるだけですか?

シングル サインオン用の STS (セキュリティ トークン サービス) を作成しました。しかし、私は.net 4とMicrosoft.IdentityModelとMicrosoft.IdentityModel.Web.Controlsを使用しました。コードを .net 4.5 に変換したいのですが、「FederatedPassiveSignInStatus」コントロールを処理するための名前空間がありません。この問題の解決策は何ですか? ありがとう

WS-Federation に関するテキストを読みましたが、理解できません。いくつか質問があります：

1. WS-Federation がなかったらどうなるでしょうか?
2. シングル サインオンにどのように役立ちますか?
3. WS-Trust と WS-Federation の違いは何ですか?

現実世界での非常にシンプルでわかりやすいサンプルで答えが欲しいだけです! いろいろ読んだけどよくわからない

ありがとう

このエラーが頻繁に発生し、努力しても結果が得られませんでした。エラー ：

ID8030: 'type' プロパティの値を解析できませんでした。'issuerNameRegistry type="Webapp1.TrustedIssuerNameRegistry,webapp1" 要素の type 属性が正しいことを確認してください。

これは私の TrustedIssuerNameRegistry クラスです:

そして、これは私の web.config 構成です:

2013 にアップグレードした後、VS2012 でローカル STS を使用するプロジェクトを実行しています。VS2013 には組み込みの STS サーバーがなくなっていることがわかりました。これを見つけた代替品を探しています

http://www.nuget.org/packages/Thinktecture.IdentityModel.EmbeddedSts/

ここの指示に従いますhttps://github.com/thinktecture/Thinktecture.IdentityModel/wiki/EmbeddedSts

しかし、うまくいかないようです。MVC ルートにルートを追加するか、何らかの無視または何かを正しく機能させる必要があると思います。

では、MVC で動作するようになった人はいますか?