問題タブ [wif]

Windows Identity Foundation を使用するように、いくつかのアプリケーションを構成しています。パッシブ リダイレクトを使用して、Security Token Service からセキュリティ トークンを取得します。これは、WIF の使用を開始する前に存在していたログオン Web サイトに WIF コードを挿入し、アプリケーション内で [Add STS Reference] を使用することで実現しました。

ただし、ログオン Web サイトを使用しないアプリケーションが 1 つあります。私がやりたいことは、ユーザーを外部 STS にリダイレクトせずに、アプリケーション自体の中でセキュリティ トークンを生成することだと思います。

外部 STS から受け取ったセキュリティ トークンにクレームを追加するために使用できる ClaimsAuthenticationManager クラスを使用して、これを達成しようとしましたが失敗しました。ただし、ClaimsAuthenticationManager はこのコンテキストでは機能しません。ClaimsAuthenticationManager をセッションごとに 1 回だけ呼び出すのではなく (期待される望ましい結果)、ページの読み込みごとに呼び出され、前のページの読み込みでユーザーに割り当てたクレームの兆候はありません。

ユーザーにデータベースからのクレームを与える外部 STS の作成を検討していますが、これは危険であると考えています。1 つの Web サイトだけのために完全に別個の STS を作成しなければならない理由はないようです。アプリケーション内でセキュリティ トークンを生成したいだけです。

シナリオ：

Silverlight アプリをホストする Web アプリがあります。Silverlight は Web アプリを使用して wcf サービスを呼び出しています。フェデレーション認証用の WIF も混在しているため、Web アプリが最初に行うことは、STS をリダイレクトしてログインすることです。ログインに成功すると、http Cookie にラップされてブラウザに送信されるトークンが取得されます。

すべての wcf サービスは wcf 4 ルーティング サービスの背後に隠されています。wcf 4 ルーティング サービスは、いくつかの事前定義されたフィルターに応じて、要求を適切なサービスにルーティングします。Silverlight は、ルーティング サービス (httpBinding を使用) を使用してサービスと通信します。

私がやろうとしているのは、元の ID (http Cookie に含まれる) を内部の wcf サービスに渡すことです。

これは私が知っている広大な主題ですが、誰かが何か意見を提供できるなら、それは大歓迎です.

更新:私はしばらくの間 WIF を使用しており、これを理解しました。基本的に、ホーム Web サイトから xml トークンを取得し、それを SOAP ヘッダーに含めてからサービスを呼び出します。

IIS7.5を搭載したWindowsServer2008でWebアプリケーションをホストしています。2つのWebアプリケーションがあります。1。最初のアプリケーションは、ログインページを備えたコアsso（シングルサインオン）サービスです。2.別のWebアプリケーションが、ssoの最初のアプリを使用する同じWebサーバーでホストされています。

WIF RTMを使用してssoを実装していますが、

通常、問題なく動作しています。ユーザーはログインしてssoをスローし、スタートページにリダイレクトできます。しかし、ログインして最初にssoをスローし、次にIISを再起動すると、2番目のアプリケーションに戻ってページを更新すると、次のエラーが発生します。

'/'アプリケーションのサーバーエラー。指定された状態での使用にはキーが無効です。説明：現在のWebリクエストの実行中に未処理の例外が発生しました。エラーとエラーがコードのどこで発生したかについての詳細は、スタックトレースを確認してください。

例外の詳細：System.Security.Cryptography.CryptographicException：指定された状態で使用するにはキーが無効です。

ソースエラー：現在のWebリクエストの実行中に、未処理の例外が生成されました。例外の発生源と場所に関する情報は、以下の例外スタックトレースを使用して識別できます。

スタックトレース：

[CryptographicException：キーは指定された状態での使用には無効です。]
System.Security.Cryptography.ProtectedData.Unprotect（Byte [] EncryptionData、Byte []optionalEntropy、DataProtectionScopeスコープ）+425
Microsoft.IdentityModel.Web.ProtectedDataCookieTransform.Decode（Byte []エンコード）+59

[InvalidOperationException：ID1073：ProtectedData APIを使用してCookieを復号化しようとしたときに、CryptographicExceptionが発生しました（詳細については、内部例外を参照してください）。IIS 7.5を使用している場合、これは、アプリケーションプールのloadUserProfile設定がfalseに設定されていることが原因である可能性があります。] Microsoft.IdentityModel.Web.ProtectedDataCookieTransform.Decode（Byte []エンコード）+151
Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ApplyTransforms（Byte [] cookie、ブールアウトバウンド）+109
Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ReadToken（XmlReaderリーダー、SecurityTokenResolver tokenResolver）+634
Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ReadToken（Byte []トークン、SecurityTokenResolver tokenResolver）+105
Microsoft.IdentityModel.Web.SessionAuthenticationModule.ReadSessionTokenFromCookie（Byte [] sessionCookie）+239
Microsoft.IdentityModel.Web.SessionAuthenticationModule.TryReadSessionTokenFromCookie（SessionSecurityToken＆sessionToken）+59
Microsoft.IdentityModel.Web.SessionAuthenticationModule.OnAuthenticateRequest（オブジェクト送信者、EventArgs eventArgs）+52
System.Web.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute（）+68 System.Web.HttpApplication.ExecuteStep（IExecutionStep step、Boolean＆completedSynchronously）+75

________________________________________バージョン情報：Microsoft .NET Frameworkバージョン：2.0.50727.4927; ASP.NETバージョン：2.0.50727.4927

ユーザーセッションはSQLServerセッションモードを使用して保存されます。このために特別なデータベースを使用しています。

何度も試しましたが、ローカルコンピューター（Windows7）でこの問題を再処理できません。誰かが同じような経験をしましたか？この問題を解決する方法を教えてください。

簡単なシナリオ:

ユーザーが OpenID を使用してサインアップできる Web アプリケーションがクラウドにあるとします。(代わりに Windows Live ID を使用しても構いません) 彼らはログインして、好きな色などのメタ データを更新できます。

この情報をデスクトップ クライアントから取得したい場合、どうすればよいですか? この情報を照会するには、おそらく Web サービスを公開する必要がありますが、認証はどうでしょうか?

DotNetOpenAuthがあり、Windows Identity Foundationがあり、CardSpace などがあります。
しかし、どこから始めればよいのでしょうか。それらのどれが必要ですか？3つすべてが必要ですか？
STS はどうですか? OpenID / Windows Live ID 用のものはありますか?

私が探していることを実行するこれらのテクノロジを使用したサンプルを見た人はいますか? ポインタはありますか？

Windows Identity Foundation (WIF) を使用して .NET Web アプリケーションに SSO を実装しました。それはうまくいきます。ただし、Mono を使用して UNIX システムで実行する必要があります。それは可能ですか？

現在、WIF と AD FS 2.0 を使用して、クレーム ベースの ID で Web SSO を実装しようとしています。現在、認証を AD FS 2.0 サーバーに委任し、発行されたセキュリティ トークンを信頼する既存の ASP.Net アプリケーションがあります。それはうまくいきます。

ただし、組織には、SAML 2 プロトコルをサポートする既存の JA-SIG 中央認証サービス (CAS) サーバーがあります。AD FS 2.0 を既存の CAS サービスに置き換えたいと考えています。

私の理解では、WIF は WS-Federation を使用します。これは、SAML トークンを囲むコンテナーのようなものです。プレーンな SAML 2 プロトコルとそのバインディング (リダイレクトまたは POST) を使用することは可能ですか? それが不可能な場合 (私の推測では)、フェデレート ID を使用し、AD FS 2.0 と CAS をフェデレートするという 2 つ目の方法があります。それは可能ですか？それに関する情報はウェブ上にはほとんどありません。

ありがとう ：-）

I have services that use net.tcp bindings (both streaming and buffered endpoints.) I'd like to add WIF federated security to those services, while continuing to use net.tcp bindings. I've tried to create custom bindings, but so far have been unsuccessful. Below is the general architecture that I'm attempting. I'm looking for the correct binding configuration to make this work.

• Client - WPF Application
• Relying party - WCF Service with net.tcp endpoints
• STS - WCF Service with http(s) endpoint

私の文脈：

• .Net RESTful Web サービス
• クライアント (混合プラットフォーム、テクノロジー、lib 機能) が SAML トークンを取得しました
• REST サービスで認証/認可用のトークンを受け入れようとしています
  • HTTP Authorization / X-Authorization ヘッダー内
  • クエリ パラメータとして
• 後で SWT もサポートしますが、SAML トークンを取得する必要があります

詳細：

文字列に SAML トークンがあります。

HttpModule では、これを ClaimsPrincipal に変換して、サービスが通常の Thread.CurrentPrincipal を IClaimsPrincipal として実行できるようにします。

いくつかの魅力的なページ/ブログ/その他を見つけました...参考になりました:

• HTTP Authorization ヘッダーでトークンを渡すための Cibrax のアイデア
• Dominick Baier 氏は、SWT と同様のことについて、SAML で同じことを簡単に行うことができると述べています。

私は文字通りSAMLトークンをClaimsPrincipalに変換しようとして立ち往生しています（SecurityTokenの中間ステップまたは直接... どちらの方法でも満足しています）。Cibrax のアイデアのサンプル コードでは、重要な検証と逆シリアル化の手順に次のコードを使用しています。

私がぶつかった壁は、WIF の RTM バージョンが GetSecurityToken のこのオーバーロードを公開していないことです...それは公開するだけです:

立ち往生するのを手伝ってくれてありがとう！

タイラー

WindowsIdentityFoundation用の一連のWebキャストはありますか。WIFについて詳しく説明しているものは見当たらないようです。

次の利用可能な適切な例はありますか？

WIF SDKを見ると、ユーザーが認証に使用するセキュリティトークンサービス（STS）上でASP.NETサイトのシンスキンにリダイレクトするためにASP.NETと組み合わせてWIFを使用する例があります（ユーザー名を指定WSFederationAuthenticationModule (FAM)することにより）およびパスワード）。

WIFとクレームベースのアクセスを正しく理解している場合は、ユーザーがユーザー名とパスワードを入力し、認証のためにこのデリゲートをSTSに送信して、セキュリティ標準を介してエンドポイントにログインの詳細を送信する独自​​のログイン画面をアプリケーションに提供してほしいと思います。 （WS- *）、およびSAMLトークンが返されることを期待しています。理想的には、を組み合わせて SessionAuthenticationModule使用​​する例のように機能します。つまり、セッションセキュリティチャンクCookieからを再構築し、セキュリティセッションの有効期限が切れたときにアプリケーションのログインページにリダイレクトします。FAMSessionAuthenticationModuleIClaimsPrincipal

FAM適切なweb.config設定を使用して、私が説明することは可能ですかSessionAuthenticationModule、それともこれを処理するために自分で書くことを考える必要がありますHttpModuleか？または、パッシブリクエスターシナリオでユーザーが事実上のアプローチでログインするシンWebサイトSTSにリダイレクトしていますか？