問題タブ [sts-securitytokenservice]

STS サーバーに接続している WCF クライアントを持っていますが、それを制御することはできません (これはサード パーティの PHP サービスです)。

数日間の調査の後、純粋に WCF を使用して受け入れる方法でサーバーと通信することができました。もちろん、すべての SOAP 要素を無視して、いくつかの文字をネットワークに配置するのは簡単でした。しかし、最終的にはすべての構成パラメーターを正しく推測することができたので、STS サービスは私の要求に次のように応答します。

しかし、今は識別子の値を抽出するのに苦労しています。私のプロキシ クラス ( ) では、と の考えられるすべての組み合わせをすべての型SecurityTokenServicePortTypeClient : ClientBase<SecurityTokenServicePortType>, SecurityTokenServicePortTypeで試しました。しかし、私が得るのは.ServiceContractDataContractXmlSerializationnull

サービス コントラクトの (大幅に変更された) インターフェイスは次のようになります。

（大幅に変更された）実装クラスには、このようなメソッドがあります

x は常にnull.

戻り値の型の代わりに、object元はRequestSecurityTokenResponseそうでした。

私は何年も前に WSE で同じ問題を抱えていましたが、たとえばXmlElementAttribute逆シリアル化プロセスを制御するための適切な組み合わせを使用するだけで解決できました。しかし、今回は役に立たないようです。

アドバイスをありがとう！

ビョルン

ASP.NET Web アプリケーションが WCF サービスと通信するための認証オプションは何ですか?

シナリオ:

1. ユーザーは ASP.NET フォームにユーザー名とパスワードを入力します。
2. ASP.NET は、ユーザーを認証するためにこれを WCF に渡す必要があります。
3. 認証された場合、ユーザーは Web サイトでアクションを実行できます。各アクションでは、異なる WCF 操作にデータを送信する必要があります。WCF は、各呼び出しでユーザーが誰であるかを知る必要があります。

最も簡単な解決策は、ユーザー名とパスワードを ASP.NET セッション状態に格納することです。ただし、パスワードはサーバーのメモリに保存されるため、これは安全ではありません。

この WCF が ASP.NET に加えて別のクライアントによって消費される可能性があるため、ASP.NET "クライアント" をサービスに対して認証するために証明書を使用したくありません。

これまでに見た中で最も優れた提案は、Windows Identity Foundation (WIF) を使用することです。これには STS が必要なようです。MSDNによると、Microsoft は Visual Studio を使用して STS をセットアップすることを推奨していないようです。一部の環境では Active Directory が使用され、他の環境ではカスタム ユーザー ストアが使用される場合があるため、展開環境で STS が使用できるという保証はありません。カスタム ユーザー ストアに対して認証するようにカスタム STS をセットアップすることは可能ですか? これを行うためのドキュメントを見つけるのに苦労しています。

WIF を使用する以外に他のオプションはありますか? プライマリ WCF サービスに対する認証に使用できるトークンを返すカスタム WCF 認証サービスについてはどうでしょうか。

HTTPS 経由で一連の WCF サービスを実行し、ws2007FederationHttpBinding バインディングを使用して STS に対して認証します。

ここで、同じ認証技術を使用してデュアル/デュプレックス サービスを追加する必要があります。 Know Your Binding Optionsには、二重サービスで使用できるのは wsDualHttpBinding のみであると記載されています。STS と一緒に使用できますか? はいの場合、誰かが構成方法を知っていますか?

WIFを使用してカスタムSTSを構築しています。SecurityTokenServiceクラスを継承した後、WSTrustServiceHostとIWSTrust13SyncContractを使用して、STSをWCFサービスとしてホストしました。そして、それは単なるプロトタイプSTSなので、BasicHttpBindingを使用していました。

クライアント側では、WSTrustChannelFactoryを使用してSTSに接続し、出力クレームを正常に取得できます。

しかし、認証情報（ユーザー名とパスワード）を追加しようとすると、STSに渡すことができないことがわかりました。

1、BasicHttpBindingを使用していた場合、クライアント側のfactory.Credentials.UserName.UserNameおよび.Passwordを介して指定したにもかかわらず、STSでユーザー名とパスワードが見つかりません。

2、UserNameWSTrustBinding（SecurityMode.Transport）を使用するように変更しましたが、STSでユーザー名とパスワードを取得できません。

3、STSでは、メソッドGetScope、GetOutputClaimsIdentityのパラメーターは、クライアント側から指定したものではなく、サーバーコンソールアプリケーションを実行するプリンシパルです。

4、別のUserNameSecurityTokenHandlerを登録し、そのValidateTokenメソッドをオーバーライドしました。しかし、STSはこのメソッドを呼び出さなかったようです。そして、STSは、CreateTokenの実装がないという例外を提起しました。

5、組み込みのWindowsUserNameTokenHandlerを試しましたが、同じ例外が発生しました。

誰かが見て、対処方法について私にいくつかの提案をすることができますか？

パッシブ フェデレーション ID (C#、ASP.Net MVC 3、WIF) を使用して、ドメイン名が異なる Web サイトのグループに SSO (シングル サインオン) を実装しました。STS でホストされるログイン ページを使用した標準のパッシブ フェデレーションに従うため、セットアップは正常に機能します。

www.brand1.com
www.brand2.com
...
www.sts.com (ログインページはこちら)

ここで、クライアントは、ユーザーが STS にリダイレクトされないように、各証明書利用者にログイン ページを実装することを望んでいます。その理由は、各証明書利用者が既知のブランドであるため、それぞれのブランドで別のドメイン名 (ホスティング STS) にリダイレクトすることは受け入れられないためです。ブランドごとに STS のログイン ページをカスタマイズすることもできません。

ログインページを証明書利用者に移動する方法はありますか?

Metro 2.2 フレームワークを使用して作成およびデプロイされたセキュリティ トークン サービスを、Axis 2 STS クライアントから呼び出したいと考えています。私は同じことをしようとしていますが、以下のような問題が発生しています: -

ソース コードを詳しく調べたところ、SecureConversationTokenBuilderクラスのコードは次のように記述されていることがわかりました。

次に、SP11Constants.getInclusionFromAttributeValue(inclusionValue) に入り、次のコードを見ました:-

as INCLUDE_ALWAYS = "http://schemas.xmlsoap.org/ws/2005/07/securitypolicy/IncludeToken/Always"これは、policy.xml で Metro によって定義されているものと等しくありません

http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/Always

したがって、上記のコードは常に -1 を返し、次のように実行時例外をスローします。

Axis2 ベースの STS クライアントから呼び出された Metro Framework で作成された Security Token Service (STS) からトークンを取得できるかどうかを知りたいと思いました。

前もって感謝します。

WIFランタイムとWIFSDKv4.0をインストールし、Visual Studio 2010で「ASP.NETセキュリティトークンサービスWebサイト」を作成しました（このリンクを参照）。

サイトを運営し、ユーザー名とパスワードの組み合わせを入力して[送信]を押すと、次の例外が発生します。

アクション<EMPTY>（Request.QueryString ['wa']）は予期しないものです。予想されるアクションは、「wsignin1.0」または「wsignout1.0」です。

だからいくつかのこと：

• 信頼できるパーティ（別名クライアントアプリケーション）がないことに気付きましたが、これはサイトをテストするために必要ですか？
• おそらくいくつかの手順（クライアントアプリの作成など）が欠落しています。どのような手順が欠けていますか？

ですから、初心者のために、これが私の環境です：

• SharePoint 2010
• Windows Server 2008 Standard
• ローカルマシンのVHDです
• 自分の仕事用ドメインに接続しています。
• 必要なリソースの一部がVPNを必要とするため、VPNも同様です

だから私はSharePointforSSOにSTSを持っています

STSは、PowerShellコマンドレットを介して作成されます。

SharePointサイトのインターネットゾーンには、クレーム認証タイプとして上記で作成した信頼できるIDプロバイダーがあります。

ログインすると、コードのこの行に到達するまで、すべてがうまくいきます。FederatedPassiveSecurityTokenServiceOperations.ProcessSignInResponse（signInResponseMessage、Response）;

ただし、ルート証明書は、ローカルコンピューターのコンピューターアカウントのMMC証明書スナップインの信頼されたルート証明機関にあります。同様に、ルート証明書はSharePointで信頼されていると見なされます。[サーバーの全体管理]->[セキュリティ]->[信頼の管理]から追加しました。

なぜ私がまだこのエラーを受け取るのか、何か考えはありますか？

Asp.Net WebApi のセキュリティを処理する方法として、 Thinktecture.IdentityModel.40ライブラリを検討しています。私が理解していない点は次のとおりで、これが私の質問です。

ユーザーが初めて認証するとき、ユーザー名とパスワードを入力する必要があります。それらが認証されると、他のすべての呼び出しに使用するトークンが発行されます。

上記のライブラリを使用しAddBasicAuthenticationて、セキュリティ構成にメソッドを使用します。これはデフォルトでトークン発行メカニズムを使用しますか、それとも を使用する必要がありAddSimpleWebTokenますか?

もしそうなら、どうすれば2つのメカニズムを結びつけることができますか?

私たちのチームは、最初のWeb APIを開発し、ServiceStackを使用してRESTサービスを公開しています。これらのAPIエンドポイントを世界中で利用できないようにするには、セキュリティが必要であることを私たちは知っています。また、サービスを呼び出しているユーザーに応じて、これらのAPIによって返されるデータをフィルタリングできる必要があることもわかっています。これらのサービスは、モバイルアプリとデスクトップWebサイトで利用されます。ユーザーリポジトリはSQLServerのUsersテーブルにありますが、ASP.NETメンバーシッププロバイダーの実装の一部ではありません。Thinktecture IdentityServerまたはIdentityModelは、APIを保護し、OAuthを介してクレームにアクセスするための適切な選択ですか？また、RESTサービスでこれらを実装するための包括的な例はありますか？