問題タブ [thinktecture-ident-server]

私は現在、クレーム ベース モデルとセキュア トークン サービスを初めて使用します。

thinktecture ID サーバーを正常にインストールしてテストしました。私がやりたい次のステップは、ログイン方法をユーザー名とパスワードの通常の方法から別の生体認証方法 (実際には指紋) に変更することです。

つまり、ユーザー名とパスワードではなく、生体認証データを受け入れるように thinktecture サーバーを作成する方法 (どこを調整する必要があるか) を知りたいです。

STS によって発行された SessionSecurityToken を検証したいと考えています。検証とは、トークンが細工されていないことを証明し、トークンが STS から発行されたことを確認することを意味します。

概念的には、STS が秘密鍵を使用してトークンを暗号化 (または署名) する場合、公開鍵を使用して復号化 (または署名を検証) できることがわかっています。

私が理解していることから、私が使用している STS (ThinkTecture Identity Server) は対称署名鍵を使用してトークンに署名します。

受け取った SessionSecurityToken には、SecurityKeys プロパティが含まれています。この SecurityKeys を表すものは何ですか? MSDN のドキュメントでは、「このセッションに関連付けられたキーを取得します。これは通常、単一のキーです。」

STS で使用される SymmetricKey ですか? もしそうなら、それは対称鍵が十分に保護されていないことを意味し、誰かがこの鍵を取得した場合、トークンを偽造することができます.

それはトークン署名ですか？もしそうなら、どうすれば署名を検証できますか (対称鍵を持っていると仮定して)?

SessionSecurityToken を検証する方法を理解するのに役立つその他の有用な情報はありますか?

プロジェクトで ThinkTecture.IdentityModel の使用を開始しましたが、深刻な問題に直面しています。同じことで私を助けてください。

エラー 1 「タイプ 'System.IdentityModel.Tokens.SecurityToken' は、参照されていないアセンブリで定義されています。アセンブリ 'System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' への参照を追加する必要があります」

Identity and Access Control に関する PluralSite のビデオを見て、基本的に必要なものをすべてセットアップした後 (自分のマシンで Thinktecture Identity Server のローカル インスタンスを実行し、Identity and Access vs2012 拡張機能を実行しています)、できません。同じソリューションで 2 つの Web アプリケーションを取得して、Identity Server に対して認証します。

現在、どちらもIDサーバーにログインする必要がありますが、これは私が望んでいるものではありません。IDサーバーに一度ログインして、両方のサイトで認証できるようにしたいです。

これがどのように進むべきかを決定すると私が思うweb.configの部分です：

「レルム」の役割とは正確には何ですか？これは実際の URL である必要がありますか、それとも名前空間のように扱うことができますか? 複数のサイトで Id サーバーによって発行された同じセキュリティ トークンを使用しようとすると、レルムが有効になる必要があることをイメージしています。

AudienceUris はどのように機能しますか? 複数のサイトで 1 つのセキュリティ トークンを使用したい場合、各サイトの URL を AudienceUris セクションで表す必要があると思いますか?

2 番目のサイトのもう 1 つの web.config ファイルは、上記のセクションとまったく同じですが、URL のポート番号が変更されています。

繰り返しますが、私は Id Srv から 1 つのサイトに対して認証するトークンを返してもらっていますが、2 つのサイトに対してそれを機能させることは一生できません。

これは設定の問題だと思いますか、それとも、実際の IIS サーバーを呼び出して代わりに URL を使用する代わりに、2 つのポート番号で IIS Express の 2 つのインスタンスを実行しているという事実でしょうか?

thinktecture identityserver Security Token Serviceを使用しています。WCFサービスを使用するクライアントがあるシナリオを設定しようとしています。次のエラーが発生する時点で立ち往生しています：

win2008 サーバーで STS をセットアップしましたが、すべて正常に動作し、MVC サイトで既に動作しています。しかし、wcf サービスでは動作しません。Bearerkey を SecurityKeyType として使用しています。クライアント アプリ関数 RequestToken() でトークンを取得します。これが私のwcfサービス構成です：

これがクライアントです。単なるコンソール アプリです。

誰かが私を助けることができれば、それは素晴らしいことです.

まだ開発中の mvc アプリケーションはほとんどなく、SimpleMembership でフォームを使用してユーザーを登録および認証します。これらのアプリケーションは同じデータベースを使用し、単純なメンバーシップから UserProfile テーブルへの外部キーをすべて持っています。最近、フェデレーテッド セキュリティを試してみることにしました。車輪を再投資せずにSSOを取得するだけですが、私が混乱していることはほとんどありません.

アプリケーションと同じデータベースを使用するように Identity Server を設定する必要がありますか? (その後、どうにかして userID をクレームなどに入れることができるので、このユーザーの他のテーブルから情報を取得する方法を知っています。これは正しいですか? )

フェデレーション セキュリティを使用する場合、通常のフォーム登録はどのように行われますか? (登録は任意のアプリケーションで実行でき、Identity サーバーが使用するテーブルに行を挿入したり、認証のために STS をユーザーの単純なメンバーシップ テーブルに調整したりできると考えていますが、これは正しいですか? )

個々の RP (mvc アプリケーション) からユーザーを認証し、ユーザーを STS にリダイレクトせずに SSO を取得することはできますか? (どういうわけか internat HTTP リクエストで)

STS が失敗するとどうなりますか? その後、ユーザーはどのアプリケーションにもログインできなくなりますか? これに対する解決策はありますか？

Thinktecture.IdentityServer.v2 アプリを使用していくつかの内部アプリの SSO を実行していますが、各アプリケーションのログイン ページをカスタマイズして、ユーザー エクスペリエンスをよりスムーズにしたいと考えています。私はそれを行う方法を見つけることができないようです。

クライアントがどこから来るソースアプリケーションに応じて、ログインページをカスタマイズできますか?

会社独自のuserValidationとclaimRepositoryを Thinktecture Identity Serverにプルするために、nuget パッケージを開発しています。

Thinktecture のやり方に合わせて、設定の保存方法を変更しました。（つまり、構成フォルダー内の独自のファイルにあるconnectionStringsとrepositoriesの構成）これを行ったので、構成変換を使用できます。

私が抱えている問題は、結果の構成ファイルにxdt属性 (およびルート要素の xmlns) が残っていることです。これは問題を引き起こさないかもしれませんが、少し面倒です。

それで、それは標準的な動作ですか、それともnugetおよび非web/app.configファイル変換のバグですか?

ThinkTecture サーバーを使用してフェデレーション セキュリティをセットアップしました。

ユーザーが特定の URL にアクセスしようとすると、Identity Provider Server (IDP) にリダイレクトされ、ログインして認証されます。

次に、IDP サーバーは、その依拠当事者の構成で指定された「リダイレクト URL」にユーザーをリダイレクトします。

代わりに、最初に要求された URL にリダイレクトする必要があります。

これは可能ですか？wreply パラメーターについて少し読んだことがありますが、これをどのように使用して、リダイレクトの前に元の Web サーバーで認証レベルの呼び出しをインターセプトするかがわかりません。

更新 私の問題は、http ://domain.com/#customer/123 などのハッシュを含む URL が原因であり、ハッシュが WIF 内のリダイレクト URL に渡された後に何もないことが原因であることに気付きました。詳細については、以下の私の回答を参照してください。