問題タブ [thinktecture-ident-server]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
wif - WIF は、フェデレーション認証後にハッシュを含む URL にリダイレクトできません
WIF と、ThinkTecture STS を使用したフェデレーション セキュリティ モデルを使用しています。
http://domain.com/#pageという URL を要求しようとすると、認証後に WIF が正しいページにリダイレクトされません。
wctxのruパラメータに/#pathの正しいパスが含まれていません。代わりに、ハッシュとそれ以降のすべてを無視するため、ruパラメータは/になります。ハッシュのない通常の URL は正常に機能します。
これにはワークアウトがありますか、それとも URL のフォーマットが間違っていますか?
助言がありますか?
android - Android アプリから Thinktecture IdentityServer を呼び出す
Android アプリケーションから ID サーバーを呼び出そうとすると問題が発生します。問題は、C# ベースのアプリ以外から IdSrv を呼び出す方法を探したところ、JS から呼び出す方法の例しか見つからなかったことです。したがって、これが JS からの呼び出し方法です。
そして、これは私の Android への翻訳です。
すべての種類の証明書を受け入れるカスタム HttpClient を使用しているため、SSL は問題になりません。問題は、呼び出しが行われるHttp 400
と、要求が不正であることが通知されるということです。私の質問は、Identity Server がそれを受け入れてトークンを返すために、Identity Server への呼び出しをどのように正確に行う必要があるかを知っている人はいますか?
oauth-2.0 - Oauth 2 リソース所有者フローを使用して対称署名鍵で Microsoft Jwt ハンドラーを使用する
OAuth 2 リソース オーナー フローを使用して、Web API サービスに対してモバイル クライアントを承認しようとしています。Thinktecture IdentityServer を使用して、対称署名鍵で jwt トークンを発行しています。
クライアント側では、Thinktecture IdentityModel を使用してトークンの検証をセットアップしています。私の WebApiConfig は次のようになります。
私の IdentityModel.config には、次のものがあります。
主にhttp://leastprivilege.com/2013/07/16/identityserver-using-ws-federation-with-jwt-tokens-and-symmetric-signatures/のこのリンクから取得 しました。これは、このスタック オーバーフローの投稿で見つけました。対称キーで Microsoft JWT を構成するには?
その投稿にある派生クラスを使用しようとしましたが、この行を実行しようとしたとき:
IssuerTokenResolver のタイプが X509CertificateStoreResolver であり、NamedKeyIssuerTokenResolver のタイプではないため、InvalidCastException が発生します。
正しい TokenResolver を構成するために、構成またはコードにまだ何かが欠けているようです。誰か考えがありますか?
asp.net - thinktecture IdentityServer v2によるシングルサインオン
Windows Server 2008 R2 Standard の qa 環境で、2 つの Relying Party で thinktecture IdentityServer v2 を実行しています。
IdentityServer は 2 つの RP 用に構成され、1 つはフェデレーションを使用し、もう 1 つは oAuth を使用します
私の最初の証明書利用者 (www.sitenumberone.com) は、WIF フェデレーションを使用する ASP.Net Framework 4 Web サイトです。
私の 2 番目の証明書利用者 (www.sitenumbertwo.com) は、oAuth を使用する ASP.Net Framework 4.5 MVC 4 アプリケーションです。
www.sitenumberone.com にアクセスしようとすると IdentityServer ログインにリダイレクトされ、認証されると www.sitenumberone.com にリダイレクトされます。この部分は機能します。
私の問題は、www.sitenumberone.com に認証された後、www.sitenumbertwo.com にアクセスしようとすると、IdentityServer のログイン ページにリダイレクトされることです。すでに認証されているため、ログインにリダイレクトされないことを期待しています。
私はいくつかの調査を行いましたが、この問題の解決策を見つけることができませんでした。www.sitenumberone.com を IdentityServer で oAuth クライアントとして設定する必要がありますか?
誰かが助けてくれることを願っています。
wcf - 発行されたトークンによる STS への認証
私は、さまざまな領域と非常に細かい権限を持つアプリケーションのフェデレーションに取り組んでいます。さまざまな領域のそれぞれに、サーバーと通信するためのフェデレーション WCF エンドポイントがあります。パーミッションがきめ細かく設定されているため、すべてのパーミッションを含む 1 つのトークンは最大 1MB、場合によってはそれ以上になる可能性があります。
要件では、最初のログイン プロセスの後、ユーザーのユーザー名とパスワードの資格情報をコード ベース内に保持してはならないことが規定されています。アクセス許可を組み合わせて小さなセットを作成することはできません。STS の実装に Thinktecture.IdentityServer を使用しています。
私が提案する解決策は、STS で各エンドポイントを独自のレルムに分割することです。STS は、レルムに対して指定されたアクセス許可クレームを含むトークンを返します。これを達成するには、ユーザー名/パスワードによって認証され、ユーザー、テナント、およびサブグループ ID を含むトークンを返す Auth レルムが必要です。これらの ID は、他のレルムへの認証のための資格情報として使用できます。
レルムに固有のトークンを発行するための STS のセットアップは、既に実装されています。残っている唯一の要件は、ユーザー名/パスワードがコード ベース内に保持されていないことです。
特定のレルムから以前に発行されたトークンを提供することにより、認証を許可するように STS を構成することは可能ですか? 私が思いつかなかったより良い解決策はありますか?
asp.net-mvc - Identity サーバーにすでにログインしている場合、要求されたリソースは許可されていません
自己署名 SSL 証明書を使用してローカルで実行されている Identity サーバーと、HTTPS を使用しない RP を使用しています。(IdentityServer にまだログインしていない状態で) 初めてログインしようとすると、すべてが正常に行われ、承認されて自分の Web サイトにリダイレクトされます。 RP
次に、RP でログアウトしますが、ユーザーは IdentityServer にログインしたままです。RP から agian にログインしようとすると、次のようになります。
あなたは現在 alice としてログインしていますが、許可されていないリソースを要求しました。アクセスできる資格情報を提供するか、管理者に連絡してアクセスを許可してください。
ユーザーは正しいロールにいますが、オプションを無効にしようとしました: "IdentityServerUsers" ロールのユーザーのみがトークンを要求できますが 、それは役に立ちませんでした。
拇印を確認しましたが、一致しています。誰かがここで何が間違っているのか教えてもらえますか?
c# - Identity サーバーのシングル サインアウト、サーバーからのログアウトも
依存側で使用するログアウト コードは次のとおりです。
RP からログアウトし、Identity サーバーの「Signed out」ページにリダイレクトされますが、Identity サーバーにログインしたままになります。これは予期された動作ですか? これを変更して、Identity サーバーからもログアウトするにはどうすればよいですか?