問題タブ [sts-securitytokenservice]

シナリオ: STS (Java/Metro) から取得したトークンによる認証を必要とする Java/Metro Web サービスにアクセスするための WCF クライアントを作成しています。サービスの WSDL からの関連するポリシー スニペットは次のとおりです。

WS-SecurityPolicy 1.2 で定義されているように、の外側の<Claims>部分に注意してください(これは、 が含まれていた以前のバージョンから変更されています)。<RequestSecurityTokenTemplate><Claims>

そのように配置すると、完全にsvcutil無視されます。<Claims>ただし、RST テンプレート内に配置すると、生成された構成にコピーされます。

WCF は WS-SecurityPolicy 1.2をサポートすると主張しています (しゃれは意図していません) 。私見、ポリシーからのクレームは常に<additionalRequestParameters>バインディング構成に表示される必要があります。

クライアントアプリケーションがサービスに対して認証しようとすると、次のエラーが発生します。

ID3242：セキュリティトークンを認証または承認できませんでした

クライアントの構成は次のとおりです。

サービスの構成は次のとおりです

認証が失敗する理由を特定する方法を誰かが知っているかどうかを教えてください。Geneva STSで詳細をトレースしていますが、証明書が認証されていない理由についてのメッセージが表示されません。

リクエスト セキュリティ トークン レスポンスの暗号化を無効にして、署名のみを管理することはできますか?

WIF SDK のデモに基づいて Microsoft.IdentityModel.SecurityTokenService.SecurityTokenService を拡張するカスタム STS を作成していますが、暗号化を使用しないとセットアップできません。

Sharepoint 2010 で新しい Web アプリケーションを作成し、[認証] オプションで [クレーム ベース認証] を選択すると、[信頼できる ID プロバイダー] ボックスがグレー表示されます。

カスタム STS や ADFS のようなものを追加する方法についてのブログなどがありますが、組み込みの SharePoint STS は ID プロバイダーではありませんか?

Sharepoint STS は Web アプリケーションでどのような役割を果たしますか? 違うタイプのSTSですか？

STS と信頼関係を持つ通常の Windows Identity Foundation (WIF) アプリケーションでは、STS によって提供されるログイン画面が表示されます。

Sharepoint 2020 で、ログイン画面が表示されませんか?

Sharepoint クレーム対応アプリケーションは、WIF クレーム対応アプリケーションとは異なりますか?

複数のセキュリティトークンサービス（STS）でWindows Identity Foundation（WIF）を使用する場合、ユーザーが最初にアプリケーションにアクセスする前にプロビジョニングすることはできますか？

たとえば、ユーザーがログインして質問に答えることができるBufferOverrunというWebサイトがあり、外部のGoogleアカウントでの認証をサポートしたいとします。ユーザーが最初にページにアクセスするときは、Googleアカウントで認証する必要があります。その後、ユーザーはWebアプリケーションにアクセスできます。このシナリオでは、Google（ID認証用）とアプリケーション用（承認用）の2つのSTSがあります。

ユーザーがシステムにアクセスする前に、クレームをユーザーに割り当てるにはどうすればよいですか？

IDはアプリケーションの外部で所有されているため、そのIDに直接クレームを割り当てることはできません（アプリケーション固有であるため、とにかく割り当てたくありません）。しかし、ユーザーがシステムにアクセスしていないため、クレームを割り当てるための内部IDがありません。私は2つの可能な解決策を見ます：

1. ユーザーがシステムにアクセスするのを待ってから（デフォルトのアプリケーション固有のクレームを作成します）、内部プロビジョニングツールを使用して、必要に応じてそれらのクレームを変更します。
2. プロビジョニングツールを使用して、ユーザーがデフォルトのIDクレーム（電子メールアドレスなど）を手動でマッピングしてから、IDを手動で入力して認証できるようにします。これにより、最初のアクセス時にIDがそのクレームを表明した場合に、特定のアプリケーションクレームのセットが付与されます。 。

1と2の両方にいくつかの問題があります。1の場合、デフォルトのアプリケーションクレームで機能が許可されていない場合でも、すべてのユーザーがシステムに暗黙的にアクセスできます。これは、最初のアカウントに特定の権限が設定されているstackoverflowのようなものに適しているようで、ユーザーがシステムを使用すると、新しいクレームが付与されます。ただし、これはすべてのアプリケーションにとって望ましいとは限りません。2は、管理者が手動でクレームを指定する必要があるため、エラーが発生しやすくなります。

上記のどちらの場合も、プロビジョニングツール（つまり、管理者アカウント）を実際に使用するためのアクセス権を持つIDをプロビジョニングするにはどうすればよいですか？

このため、アプリケーションのインストール時に、ユーザーが認証を行い、そのIDのアプリケーションクレームを「管理」特権を持つように設定する必要があると思います。これは良い実装ですか？

歴史的に（私は現在、既存のアプリケーションを参照しています）、アプリケーションは特にActiveDirectoryとのみインターフェイスしていました。これを処理する方法は、管理者ユーザーが最初にログインできるようにする組み込みの管理者アカウント（ADとは関係ありません）があったことでした。管理アプリケーションで認証した後、そのユーザーはADでユーザー/グループを検索し、それらを個別にプロビジョニングできます。管理者によってプロビジョニングされていないユーザー/グループは、システムにまったくアクセスできません。このパラダイムがGoogleなどの外部STSの使用に適用できるとは思わないので、外部STSシステムを有効にするアーキテクチャを考えようとしています。必須ではありませんが、STSを検索する機能を保持することが望まれます。実際には、関係する2つのSTSは、両方ともフェデレーションサービスを使用するActiveDirectoryである可能性があります。

注：これは、この質問とこの質問に似ています。

カスタム メンバーシップ プロバイダーを使用する従来の ASP.NET アプリケーションがいくつかあります。また、カスタム クライアントを作成した外部の SAML ベースの ID プロバイダーも利用しました。私は WIF と ADFS の価値を高く評価しています。SAML ID プロバイダーは ADFS と連携しますが、従来のメンバーシップ システムをサポートする必要があります。

レガシ認証を処理するためにカスタム STS を作成する必要がありますか? もしそうなら、多くの開発者はさまざまな理由でこれに反対するようアドバイスしています。安全でスケーラブルにするのに役立つテンプレートまたはフレームワークはありますか? SelfSTS と StarterSTS を見たことがありますが、どちらも実稼働用ではないことを暗示しています。

そうでない場合、オプションは何ですか？

Security Token Service (STS)、STS への参照を含むサービス、およびデスクトップ アプリケーションの例を作成しました。

これは、Windows 認証とメッセージ セキュリティを使用している場合に期待どおりに機能し、STS からトークンが取得され、サービス メソッドが正常に呼び出されます。このサービスは、現在のユーザー ID を含む文字列を返します。これにより、AD ユーザー名が返されます。

ただし、AD ではなくデータベースに対して認証する必要があります。CustomUserNameValidator を作成して (STS で、これは正しい場所ですか?)、web.config でそれを参照しようとしました。次に、以下に示すように資格情報を提供します。

SampleServiceReference.SampleServiceClient client = new SampleServiceReference.SampleServiceClient(); client.ClientCredentials.UserName.UserName = "alex"; client.ClientCredentials.UserName.Password = "pass";

証明書が正しく設定されていると思います (すべて「localhost」を使用) が、サービスを呼び出すと次の例外が発生します。

System.ServiceModel.FaultException: ID3242: セキュリティ トークンを認証または承認できませんでした。

私が何をしようとしても失敗するようです。私が説明していることは可能ですか？サービス クライアントもクライアントの資格情報を STS に渡しますか? それとも、ここで何が起こっているのか完全に誤解していますか?

このスタックオーバーフローの質問は似ていますが、オーディエンスの URL を確認したところ問題ないようです。WIF STS ID3242

STS を使用するときにカスタム認証を実現する方法について誰かアドバイスはありますか?

私は使用しています：

ユーザーがサインインすると、コントロールに「ログアウト」というリンクが表示されます。リンクをクリックすると、次の場所にリダイレクトされます。

これにより、STSプロバイダーで予期しない動作が発生しますが、これは私が望んでいることではありません。私はこれが起こるために何か間違った設定をしていると思っています。したがって、FederatedPassiveSignInStatusコントロールをクリックする代わりに...このURLをブラウザに貼り付けるだけの場合：

その後、すべてが正常に動作します！

だから、私の質問は..どうすればこのダーンコントロールを正しく機能させることができますか？このコントロールまたは適切な使用方法に関するドキュメント/プログラミングWIFブック/アイデンティティトレーニングキット（4月リリース）が見つかりません。

マイクロソフトに行く方法。

この欲求不満のプログラマーを助けてください。

ありがとう

Federated Identity は、STS (セキュリティ トークン サービス) への最初の要求の後、セキュリティ トークンを Cookie に保存することがわかります。その場合、ブラウザで Cookie を無効にすると、どのように機能しますか?

STS 問題のアプリにリダイレクトされないことがわかりました。この状況をどのように克服できますか?

カスタム STS を Azure にデプロイする WebRole として実装しようとしています。私が抱えている問題は、カスタム STS のフェデレーション Metadata.xml ファイルをどのように生成または書き込むかということです。自分で書いた場合、カスタム参照 ID を取得できますか? また、どのように署名すればよいですか? また、私の STS は Azure アプリケーションであるため、Azure Emulator を実行するとhttp://127.0.0.1:81/のような URL になるため、これを Federation Metadata.xml ファイルのリンクとして使用しますが、その後STS を運用環境として Azure に発行すると、 http://cloudSts.cloudapp.netのような URL になります。したがって、これらの変更をフェデレーション Metadata.xml ファイルに反映する必要があります。ここでの質問は、これらの変更を行った後、パッケージを再度アップグレード/公開してから、それを本番環境に移動するか、変更したフェデレーション メタデータをアップロードするだけでよいかということです。 xml ファイルを ACS (カスタム STS を IP として持っている場所) にアップロードすると、機能しますか?

ありがとう