問題タブ [wif]

Windows Identity Foundation (WIF) には、 というクラスがありClaimsPrincipalPermissionます。MSDN のドキュメントは非常にまばらです。それは述べています：

ClaimsPrincipalPermission は、リソースへのアクセスに必要なアクセス許可を表します。ClaimsPrincipalPermission は、アクセスするリソースを表す文字列と、リソースに対して実行するアクションを表す文字列を受け取ります。Demand が呼び出されると、プリンシパルは、指定されたリソースに対して指定されたアクションを実行するためのアクセス許可を持っている必要があります。そうでない場合、Demand は例外をスローします。

これはカッコいい。関数に属性を設定して、許可されたユーザーだけがその関数を呼び出せるようにすることができます。この機能を動作させるのに問題はありません。

ただし、別の問題があります。特定のユーザーのみがアクセスできる多くの機能を備えた Web アプリケーションに取り組んでいます。ログインしたユーザーがアクセスできる機能を備えたページへのリンクのみを表示するようにページをコーディングしたいと考えています。

ClaimsPrincipalPermission でこれを行う唯一の方法は、次のことです。

私の上司は、そのような「例外によるコーディング」は容認できないことを私にはっきりと伝えました。この種のものを小さなライブラリにカプセル化できると確信していますが、WIF がこれにどのように使用されることを意図しているか知りたいです。

ところで、WIF で特定の Web ページへのアクセスを自動的にチェックできることは承知していますが、このプロジェクトのアーキテクトは、Web ページの URL ではなく、制限する機能の名前を指定したいと考えています。

どうするのが一番いいですか？

アップデート

これまでのところ、私が見つけた最善の方法は、結果を軽減するために例外によってプログラミングをカプセル化することです...

私が考えることができる方法は次のとおりです。

• Windows Identity Foundation (WIF) を使用します。私はこれをやったことがないので、ブラックボックスで危険です.
• フォーム認証などを使用してから、データベース レプリケーションを使用して、各アプリケーションがデータ ストアにアクセスできるようにします。

他の選択肢があることは間違いありません。

詳細: これはインターネット ソリューション用であり、イントラネット/LAN 用ではありません

ASP.NET MVC アプリケーションで WIF を使用するためのサンプル アプリケーションはありますか? これらのテクノロジーの両方を統合しようとするのを手伝ってくれる人はいますか?

以下のシナリオの構成に苦労しています。

• WCF サービスにセキュリティ トークンを提供するカスタム WCF/WIF STS (RP-STS) があります。
• RP-STS は「アクティブな」STS です
• RP-STS はクレーム変換 STS として機能します
• RP-STS は、多くの顧客固有の ID プロバイダー STS (IdP-STS) からのトークンを信頼します
• WCF クライアントがサービスに接続するとき、ローカルの IdP-STS で認証する必要があります。

私が行った読書では、これを Home Realm Discovery と呼んでいます。HRD は通常、Web アプリケーションとパッシブ STS のコンテキスト内で説明されます。私の質問は、私の状況では、IdP-STS エンドポイントを選択するためのロジックは RP-STS または WCF クライアント アプリケーションに属しますか?

RP-STS に属していると思いましたが、これを実現するための構成がわかりません。RP-STS には単一のエンドポイントがありますが、エンドポイントごとに複数の信頼できる発行者を追加する方法がわかりません。

これに関するガイダンスは非常に高く評価されます（Googleにとって有用なキーワードがありません。）また、私が離れている場合は、別のアプローチを提供してください。

_{(ソース: marshaledthoughts.com )}

WIF でのアクティブ フェデレーションとパッシブ フェデレーションの違いを理解しようとしています。Relying Party (RP) が ASP.NET アプリケーションではなく WCF サービスの場合はアクティブ フェデレーションを使用し、RP が ASP.NET アプリケーションの場合はパッシブ フェデレーションを使用するようです。これは正確ですか？

したがって、ASP.NET アプリケーションがバックエンドで WCF を使用するシナリオでは、MS の記事では、ActAs STS を使用して ASP.NET アプリによって取得される「ブートストラップ」セキュリティ トークンを使用することが提案されており、このトークンは認証に使用されます。 WCFで。このシナリオでは、アクティブ (ユーザー -> STS -> ASP.NET RP) とパッシブ (ASP.NET -> ActAs STS -> WCF) フェデレーションの組み合わせを行っているように見えますか?

Webアプリケーションがあり、Windows IdentityFoundation3.5を使用するカスタムSTSを使用してセキュリティで保護する必要があります。すべての例には、シーンにパッシブSTSがあります。なぜこれが必要なのですか？また、WIFを使用して作成されたActive STS 9Customを直接呼び出すとどうなりますか？

パッシブ STS を介して既に認証されている Web サイトから既存の SAML トークンを渡す最良の方法は何ですか?

認証のために Web サイトにパッシブ クレームを発行する ID プロバイダーを構築しました。これが機能しています。ここで、いくつかの WCF サービスをミックスに追加して、既に認証済みの Web アプリケーションのコンテキストから呼び出します。理想的には、何もせずに SAML トークンを渡したいだけです (つまり、新しいクレームの追加や再署名)。私が見たすべての例では、ActAs sts の実装が必要ですが、これは本当に必要なのでしょうか? これは、私たちが達成したいことに対して少し肥大化しているようです。

CreateChannelActingAs または CreateChannelWithIssuedToken メカニズム (および ChannelFactory.Credentials.SupportInteractive = false を設定) を使用して、正しいバインディングで WCF サービスを呼び出す (それは何でしょうか?)十分でした。

参考としてFabrikamのサンプル コードを使用していますが、ここで述べたように、ここでの ActAs 機能は、私たちが達成しようとしているものに対して過剰であると考えています。

ユーザー名/パスワードで WCF DS を使用してサーバーに接続するアプリケーションがあります。さらに、各クライアントにも証明書が必要です（クライアントごとに異なります）。これを最も簡単な方法で解決するにはどうすればよいですか？新しい証明書をクライアントに展開するのは簡単でなければなりません。

私はWIFを探求し始めましたが、次のことに疑問があります。

Windows Identification Foundation [WIF]で、セキュリティトークンサービス[STS]を調べて、フェデレーション認証トークンが保存されている場所を知りたいですか？

私はそれがブラウザのクッキーにあると思います、もしそうなら、誰かがそれについての洞察を私に教えてくれますか？

Federated Identity は、STS (Secure Token Service) への最初のリクエストの後、セキュリティ トークンを Cookie に保存していることがわかります。その場合、ブラウザで Cookie を無効にすると、どのように機能しますか。

認証モジュールは再度 STS に接続してユーザー情報を取得しますか、それともエラーをスローしますか?

Federated Authentication cookieless を使用する方法はありますか?