別々のドメインに 2 つのサイトがあります。Thinktecture IdentityModel を使用して SSO を実装しています。

ユーザーがサイト A にログインします。ある時点で、ユーザーはリンクをクリックしてサイト B に移動します。サイト A は、JWT トークンを使用してユーザーをサイト B/Login.aspx?token=< token > にリダイレクトします。次に、サイト B は、サイト A で API を呼び出してユーザーを認証することにより、トークンを検証します。認証された場合、ユーザーは自動的にサイト B にログインします。

デフォルトでは、Thinktecture トークンは 10 時間持続し、トークンを殺す方法はありません (私が知る限り)。ユーザーがサイトからログアウトしても、トークンは引き続き有効です。ブラウザーの履歴を見て、"Login.aspx?token=< トークン >" URL を取得すると、自動的に再度ログインできます。ユーザーがログアウトしたときにすべてのユーザー トークンを削除する方法はありますか? トークンをクエリ文字列の一部として渡すべきではありませんか? リプレイ攻撃を防ぐ最善の方法は何ですか?

私は現在、ASP Web API プロジェクトを作成し、フェデレーション認証に Thinktecture ID サーバーを使用するメインの MVC アプリケーションとは別にデプロイしたという状況に陥っています。

私が直面している問題は、Web api cors サポートに関係しています。より具体的には、mvc アプリケーションで自分自身を認証しますが、Web API に要求を送信すると、次のエラーが発生します。

WSFederationAuthenticatioModule が既にログオンしていることを確認するために必要な Http ヘッダーが要求に含まれていないため、エラーは理にかなっています。

私が気付いていない回避策はありますか？

私たちのプロジェクトの 1 つに thinktecture ID サーバーが実装されています。IdentityServerConfigurations データベースの KeyMaterialConfiguration テーブルに「SigningCertificate」があることを確認しました。同じ名前の「自己署名証明書」として作成することにより、同じマシン (IdentityServer が展開されている場所) の IIS で同様の証明書を作成しました。

それでも - を実行するhttp://localhost/identityserverと、「署名証明書が見つかりません..」というエラーが表示されます。

このエラーを解決するためのガイドを教えてください。

それは私の多くの時間を食い尽くしているだけです。

IIS 7.5 で実行されている thinktecture ID サーバーを使用して、2 レベル認証の実装に成功した人はいますか?

私が試した解決策はすべて、IIS 6/クラシック モードを対象としているようです。

http://mvolo.com/iis-70-twolevel-authentication-with-forms-authentication-and-windows-authentication/

Thinktectureでプレイするのはあまり運がありませんが.

私たちがやろうとしているのは、Windows 認証を介してユーザーを認証することです。それが利用できない場合は、フォーム認証に送信します。なぜこれがそれほど複雑なのかはわかりませんが、一般的なタスクのようです。

Thinktecture ID サービスを使用して、MVC Web サイトでユーザーを認証しました。次のコードを使用して、ユーザーがログアウトできるようにします。

これにより、ID サービスからユーザーが正常にログアウトされますが、サインアウト成功メッセージを表示するのではなく、ユーザーをサインイン ページにリダイレクトするにはどうすればよいですか?

Microsoft のクレームベース認証の実装は、真のクレームベースのセットアップの期待に応えられていないことがわかりました。ThinkTectureは、Web API 実装をうまく置き換えているようです。

AccountController の VS2013 の既定の SPA テンプレートから ThinkTecture アプローチに移行するためのガイドまたはブログ投稿があるかどうか疑問に思っています。

AspNetUsers と Roles のテーブルを作成するデフォルトの Microsoft Web API AccountController も気に入っていますが、ThinkTecture が同じことを行うかどうかはわかりません。

ThinkTectureが持っているすべてのリポジトリの間で少し混乱していると思います。IdentityServer、 、IdentityModel.45、またはを何を使用するかに関して、確固たるガイダンスを持っている人はいますAuthorizationServerか?

Microsoft のアプローチ全体を破棄して、適切な真のクレームベースのアプローチを使用することを検討していますがEF6 migrations、ID テーブル、使用するプロジェクト、または AccountController アプローチ全体を破棄する方法に関して、ちょっと助けが必要ですVS2013 の SPA テンプレート。Dominick のブログを見たことがありますが、とても良さそうに見えますが、Web API アプローチから ThinkTecture の考え方に移行するのに役立つ投稿は見つかりませんでした。

OAuth 2.0 を実装する必要があります。Google のおかげで、Thinktecture Authorization Server を見つけました。これは、何とかできるようにするオープン ソース プロジェクトです。

次に、wiki ページに移動し、https://vimeo.com/69300053で初期セットアップ ビデオを視聴します。指示に従いますが、[サーバーの構成] をクリックすると、ブラウザーは常にこのリンクにリダイレクトされます。

https://idsrv.local/issue/wsfed?wa=wsignin1.0&wtrealm=urn%3aauthorizationserver&wctx=rm%3d0%26id%3dpassive%26ru%3d%252fAdmin%252fHome&wct=2014-01-04T08%3a08%3a54Z

1. 誰でもこの問題の経験がありますか?
2. Thinktecture Authorization Server をセットアップした経験のある方は、アドバイスをお願いします。OAuth2.0 は初めてで、どこから始めればよいかわかりません。

ありがとう。

Thinktecture Identity Serverを使用して、クレーム対応の MVC Web サイトをセットアップしています。サード パーティが Web サイトの特定の部分にアクセスできるようにする必要があります。

サードパーティのユーザーが通常のログイン プロセスを手動で実行する必要がないように、Identity Server でプログラムによって認証し、これを Web サイトに投稿することは可能ですか?

以前、ID サーバーを使用して WCF 呼び出しを行う目的で SAML トークンを取得しましたが、このアプローチの一部を再利用できるかどうか疑問に思っていました。

サードパーティが、MVC Web サイトにアクセスするためのブラウザー コンポーネントが組み込まれたデスクトップ ベースの Java アプリを使用しているという事実から、複雑さが生じます。ユーザーはデスクトップ アプリで既に認証されているため、これらの Web ページを表示するために資格情報を再度入力する必要はありません。

インフラストラクチャのレイアウト

青線はログイン要求を開始します。

赤い線は、ログイン成功後の応答です。idp(janie-pc/ofsidentityservice) から fp(janie-pc/federationservice) への 404 にヒットしました。

構成

このフローを機能させるにはどうすればよいですか?

最新リリース (v2.3) を使用しています: https://github.com/thinktecture/Thinktecture.IdentityServer.v2/releases

リダイレクト URL を指定する必要があるように見えますが、thinktecture で必要な URL は何ですか?

消費者に発行されたトークンを無効化または削除する方法を探しています。

シナリオは、ユーザーのパスワードが変更されたときに、発行されたすべてのトークンを使用できないようにすることです。