問題タブ [wif]

わかりましたので、使用する非常に単純なasp.netおよびwcfサービスと認証用のSTSを強化しましたが、プログラムで構成する場合、どうすれば同じことを達成できるのでしょうか。

私は web.config に特定の情報が必要であることを知っています。また、クライアントから名前空間 Microsoft.Identity.Configuration 名前空間にアクセスできることもわかります...しかし、そこから実際に構成されたアプリ、誰かがそれを歩いた場合、私はすべて耳にします

最初の最も重要なマイルストーンは、使用する sts をプログラムで構成することです。次に、アプリの実際のアドレス (audienceUrl と wsFederation->realm)、次に証明書のcertificateReferenceとtrustedIssuersセクションを構成します。

乾杯

現在、Windows Identity Foundationでいくつかのチュートリアルを実行しようとしていますが、提供されているサンプルを実行できません。

「Webサーバーでデバッグを開始できません。基になる接続が閉じられました」と表示されます。

私のマシンは、IIS7.0のWindows認証をサポートしていないVistaHomePremiumを実行しているためだと思います。

これがWIFサンプルを実行できない原因であることを誰かが確認できますか？

私はWindowsIdentityFoundation（WIF）を簡単に調べましたが、自分のサイトが他のサイトからのログインを受け入れると言えるように見えます。たとえば、GmailまたはLiveIDアカウントを持っている人なら誰でも、私のアプリケーションのスレッドにコメントを投稿できます。コメントの投稿ボタンをクリックすると、ユーザーはプロバイダーにリダイレクトされ、そこでログインします。その後、ユーザーは私のサイトで投稿することを許可されます。

誰がSTSメカニズムを提供し、どのURLがWIFにフィードするのかを知るにはどうすればよいですか？

少しグーグルでLiveIDを見つけましたが、FacebookサービスやYahooなどを見つけたい場合はどうすればよいですか？STSプロバイダーとそのさまざまな呪文を検索することは、それほど多くはありません。

どうもありがとう

ベータ版はかなり最近リリースされました。これには、後でこれを表示する人のために、グーグルやフェイスブックなどのいくつかのSTSプロバイダーが含まれています。

Windows Identity Foundation の "Developer Training Kit" をダウンロードし、新しくセットアップした Windows Server 2008 R2 仮想マシンにインストールしました。サンプル ソリューションを開いて F5 キーを押して実行すると、次のエラーが表示されます。

「Web サーバーでデバッグを開始できません。基になる接続が閉じられました: 送信時に予期しないエラーが発生しました。」

デバッグせずに Web ページを開始しようとすると (Ctrl-F5)、ブラウザーに「接続がリセットされました」というエラーが表示されます。何も機能しません！

ここで唯一変わっているのは、ローカル マシンのアドレスが、開発環境で慣れている http ではなく https で始まっていることです。これらのコード サンプルを実行できた人はいますか?

OpenSSO を ID プロバイダーとして使用している場合、STS ダンスを実行するように .NET 証明書利用者を構成するには (つまり、FedUtil.exe を使用して) 何をすればよいですか?

OpenSSO の WS-Trust クライアント サンプルを実行したので、OSSO は良好な状態にあり、次のステップに進む準備ができていると思います。

FedUtil.exe の「既存の STS を使用する」ウォールにいます。OpenSSO の STS WS-Federation メタデータ ドキュメントはどこで入手できますか? 私はもう試した：

• the.osso.server:port/opensso/sts
• the.osso.server:port/opensso/sts?wsdl
• the.osso.server:ポート/opensso/sts/mex
• the.osso.server:port/opensso/sts/mex?wsdl
• the.osso.server:port/opensso/sts/soap11
• the.osso.server:port/opensso/sts/soap11?wsdl

運がない。

ご協力いただきありがとうございます、

タイラー

シングル サインオンで多数の Windows ベースの Web サービスを結び付ける方法を検討しています。Microsoft の Windows Identity Framework と ADFS 2.0 は、この仕事に最適なツールですが、すべての Web サービスが .NET で記述されているわけではありません。1 つは従来の ASP で、もう 1 つは PHP です。これらのプラットフォームで動作する既存のライブラリはありますか?それともゼロから構築する必要がありますか?

私は自分のオフィスで最初のプロジェクトに取り組んでおり、クレームベースの承認で "Windows Identity Foundation" を使用する予定です。この目的のために、Microsoft .net は ClaimsAuthorizationManager 抽象クラスを提供します。このクラスを使用するには、コンストラクターとCheckAccess(context as ClaimsAuthorizationContext).

コンストラクターはすべてをセットアップします。次に、ユーザーが Web ページなどの何かにアクセスすると、CheckAccessユーザー、アクセスするリソース、およびリソースに対して実行するアクションを示すパラメーターを使用して呼び出されます。たとえば、アクションを実行するためにリソースへのアクセス権をCheckAccessユーザーに付与する必要があるかどうかを確認するために呼び出すことができます。 またはを返すだけです。Windows Identity Foundation は、考えられるほぼすべての方法を柔軟に実装できるようにします。Bobhttp://www.mysite.com/SecretPage.aspxGETCheckAccesstruefalseCheckAccess

Microsoft が提供するコード サンプルではCheckAccess、​​ユーザーが 21 歳以上であることを示す誕生日クレームを持っている場合にのみアクセスを許可するように構成されています。このポリシーは、web.config でプレーンテキストで指定され、ClaimsAuthorizationManagerコンストラクターで読み取られます。

私のオフィスでは、SQL を使用してほぼすべてのデータを追跡しています。ClaimsAuthorizationManagerユーザーがリソースにアクセスできるかどうかを判断するために、SQL からデータを読み取るように をプログラムすることは理にかなっていると思います。ただし、考えられるポリシーは無数にあります。ClaimsAuthorizationManager現在のプロジェクトに役立ち、現在作成しているプロジェクトをリッピングして置き換えることなく、将来的に構築および改善できるを作成したいと考えています。

このプロジェクトを進めていく上で、最も重要なことは何ですか?

更新: 私は、必須請求ポリシーを文字列として表すシステムに取り組んできました。ポリシーをグループ化するために二分木ロジックを使用しています。「リソース」と「アクション」に関連するクレームのデータベースを維持しています。

ここで他の誰かが ClaimsAuthorizationManager クラスを作成しましたか?

Windows Identity Foundation を使用する ASP.net アプリケーションを作成しています。私の ASP.net アプリケーションは、セキュリティ トークン サービスへのパッシブ リダイレクトによるクレーム ベース認証を使用しています。これは、ユーザーがアプリケーションにアクセスすると、自動的に Security Token Service にリダイレクトされ、アプリケーションに対してユーザーを識別するセキュリティ トークンを受け取ることを意味します。

ASP.net では、セキュリティ トークンは Cookie として保存されます。

ユーザーがアプリケーションでクリックして Cookie を削除し、それらを Security Token Service にリダイレクトして新しいトークンを取得できるようにしたいと考えています。つまり、ログアウトして別のユーザーとしてログインしやすくします。コードでトークンを含む Cookie を削除しようとしましたが、何とか持続します。

ユーザーが再度ログインして新しいトークンを取得できるように、トークンを削除するにはどうすればよいですか?

この質問は、あなたの組織で何百万回も議論されたに違いないことを私は知っています. もう一発。

ビジネス オペレーションをサービスとして公開する LOB アプリケーションを設計する。

これらのサービスは、当社独自の Web アプリケーション (ASP.Net MVC)、スマート デスクトップ クライアント、モバイル クライアント、および当社のパートナーによって、Web アプリケーションまたは個別の呼び出しのいずれかを介してアクセスされます。

Web アプリケーションだけでなく、他のユーザーがサービスにアクセスしているため、サービスへの各呼び出しは認証および承認される必要があります。

最善かつ最適なセキュリティスキームは何ですか? Web アプリケーションからサービスへの各呼び出しで、認証されたユーザーの資格情報を渡すにはどうすればよいですか? (Windows ID 財団??)

これは Windows Identity Foundation の場合ですか? はいの場合、どのピースがどこに収まりますか? そしてどうやって？

ご協力いただきありがとうございます。

よろしく。

最初のいくつかの背景：

最近、通信しているサーバーにSAML2.0アサーションを送信するように指示されました。クライアントにはWCFを使用しています。サーバーはWCFを使用していません。サーバーを実装する人は、SAMLアサーションを発行するSTSを持っていません。SAML 2.0トークンをサポートしているため、WIFフレームワークを使用しようとしています。

1. STSからSAML2トークンを取得せずに、クライアントからのメッセージでSAML 2.0アサーションを送信することは可能ですか？誰かがWCFとWindowsIdentityFoundationでこれを行う方法に関するサンプルコードを投稿できますか？周りを見回しても何も見つかりませんでした。

2. クライアントがSTSからSAML2.0トークンを取得し、そのトークンをアサーションとともにサーバーアプリに送信する例はありますか？