問題タブ [wif]

これまでに行ったことは次のとおりです。

1) ASP.NET MVC 証明書利用者アプリケーションを作成し、ADFS v2.0 で保護しました。これは機能します。

2) ASP.NET Web サイト用の Claims-Aware サービス テンプレートを使用して WCF サービスを作成しました。サービスがアクティブにならないため、サービスの ASP.NET 互換性をオンにしました。このサービスのインターフェイスを「SharedContracts」アセンブリに移動しました。

3) 「STS の追加」参照を使用して WCF サービスを証明書利用者として設定し、ADFS サーバーも指定します。

4) 証明書利用者として WCF サービスを含め、LDAP 要求を発行するように ADFS サーバーを構成しました。

今やりたいことは、ActAs を使ってサービスと対話することです。言い換えると、誰かが ASP.NET MVC サイトから HomeController.Index() を要求でいっぱいのトークンでヒットした場合 (MVC サイトは証明書利用者であることを思い出してください)、このメソッドでプログラムによってクライアント プロキシを作成し、単一のプロキシを呼び出す必要があります。 WCF サービスで使用しているサービス メソッド (「HelloClaim」と呼ばれるメソッドで、クレーム対応サービス テンプレートに付属するストック メソッドとほぼ同じです)。

これまでに得たコードは次のとおりです。

メソッドを呼び出そうとすると、次のエラー メッセージが表示されます。

このファクトリでは手動アドレス指定が有効になっているため、送信されるすべてのメッセージは事前にアドレス指定する必要があります。

バインディングとエンドポイントをプログラムで構成するのに十分ではないと確信しています。以前にこれを行ったことがある人、またはその方法を知っている人がいる場合は、これを機能させたいと思います.

要するに、私は基本的な ID 委任シナリオを利用しているだけです。唯一の違いは、生成されたクライアント プロキシを使用していないことです。

Microsoft ADFSv2 は WS-Trust と SAML パッシブをサポートしているようですが、それが構築されている WIF スタックは SAML をサポートしていません。

WS-Trust と SAML-P の違いは何ですか? それらは同じセキュリティ脆弱性を共有していますか? もしそうなら、それらは何ですか?

注: ここには似ていますが別の質問があります。

SAML と OAuth

私は持っている：

• ID プロバイダーでもあるパッシブ STS "ログイン アプリケーション"。
• ActAs トークンを受け入れて処理できるアクティブな STS WCF サービス
• Web サイトの証明書利用者
• Web サイトによって呼び出される WCF サービス証明書利用者。

これらはすべて、Windows Identity Foundation とカスタム STS コードを使用してまとめられています。Active Directory (ADFS) は関係ありません。

私が今働いているのは：

1. ユーザーが Web サイト RP にアクセスしようとします。
2. ユーザーがパッシブ STS にリダイレクトされます。
3. ユーザーがログインし、発行されたトークンを取得し、Web サイト RP にリダイレクトされます。
4. Web サイト RP は WCF RP へのサービス呼び出しを行い、ActAs トークンを渡すことで委任が発生します。
5. アクティブな STS は、ActAs トークンが入ってくるのを確認し、出力 ID を適切に設定して、プライマリ ID が ActAs トークンになり、呼び出し元の ID がアクター チェーンに追加されるようにします。
6. WCF RP は適切なトークンをすべて取得し、現在のスレッド プリンシパルは適切な ID とクレームを適切に取得します。

WCF RP がアクティブな STS から追加の要求を要求するようにします。

つまり、アクティブな STS に送られる RST に、サービスが必要とするクレームのリストを含めて、それらの追加のクレームがまだ存在しない場合にフェッチできるようにしたいと考えています。

Web サイト RP クライアントのバインディングを変更することでこれを行う方法を見つけましたが、WCF RP サービス エンドで要件を指定したいと考えています。

私が使用しているバインディングと関係があると感じています。ws2007FederationHttpBinding を ActAs トークンで動作させるのに問題があり、WIF ID トレーニング キットのすべての例で customBinding が使用されていたので、それも行いましたが、最終的には動作しました。これは、私のバインド構成を示す WCF RP の構成スニペットです。

呼び出し元の Web サイトの構成を変更して、issuedTokenParameters セクションで claimTypeRequirements を示すようにすると、アクティブ STS は実際には RST で必要な要求のリストを確認します... しかし、それは呼び出し元の Web サイトにあり、これは私にとって問題です。

呼び出し元の Web サイトでその構成を複製することなく、WCF RP が必要な追加のクレームを指定できるようにするにはどうすればよいですか?

それが実際に拘束力のある問題である場合は、上記の内容と同等の構成を示していただければ助かります。適切な変更を加えて Web サイトと WCF サービスを更新できますが、必要な要求のリストを制御するには、サービス (ま​​たはサービスの動作、またはサービスの構成) が必要です。サービスは、必要なクレームが欠落しているリクエストを受け入れるべきではありません。

Windows Identity Foundation (WIF) Security Token Service (STS)を使用してアプリケーションの認証を処理していますが、これは問題なく動作しています。ただし、STS で長時間ログインを取得できないようです。

私の理解では、アプリケーション レベルでクライアント トークンを気にする必要はありません。クライアント トークンは期限切れになる可能性があり、STS にリダイレクトされ、STS にログインしている限り、アプリケーションを更新する必要があるためです。トークン。それでも、サインインしたままにしたくないようです。

STS の login.aspx で発生することは次のとおりです。

これは、通常の Forms Auth を使用して既存のアプリケーションからほぼ直接取得されたものです。

私のweb.configから

サインイン後に Cookie を見ると、Cookie の有効期限が 14 日間に設定されており、Cookie がセッション Cookieではないことがわかります。

STS に再度ログインする必要がある場合、元の Cookie がまだ残っていることがわかります。

STS が Cookie に埋め込んでいるタイム スタンプ機能のようなものはありますか? 私の知る限り、それはまだ有効であるはずですが、それが私の Cookie を無効にしていますか?

ユーザーの認証に WIF を使用することを検討しているため、正しい方法でこれを行う方法に関する情報を収集し始めました。主に STS の作成方法。内部と外部の両方のクライアントが使用する「メイン」サービスがあるシナリオに関する情報を見つけるのに苦労しました。

内部クライアントは、TCP を使用してサービスに接続します。従業員が使用するデスクトップ クライアントは、ドメイン資格情報 (Active Directory) を使用してサービスに対して認証する必要があります。それに加えて、データ処理のためにサービスを使用する少数のアプリケーションがあります。これらのアプリケーションに証明書を発行したいと考えています。次に、その証明書を使用して STS を介して認証し、そのアプリケーションのクレームを含むトークンが返されます。それは可能ですか？

外部クライアントは、HTTP 経由で接続し、ユーザー名/パスワード (Web クライアント) を使用して認証するか、上記のような証明書によって認証します。

これは有効なシナリオですか? これを WIF でどのように実装しますか? 役立つと思われる記事をいくつか教えていただけますか。STS (WCF) を 1 つだけ使用することでこれを解決できますか? それとも複数必要ですか? 1 つの STS で複数の種類の資格情報 (AD/ユーザー名/証明書) を処理できますか?

前もって感謝します。どんな助けでも大歓迎です。

私は次のものを持っています：

1. ID プロバイダーとして機能する Web サイト ASP.Net アプリケーション (IDP STS)
2. フェデレーション プロバイダー (FP STS)
3. (RP) として機能するリソース ASP.NET MVC Web サイト

RP でリソースにアクセスしようとすると、FP STS を通過し、IDP STS にリダイレクトされます。ユーザーは資格情報を入力し、その有効性が確認されると、IDP はいくつかのクレームを提供し、それが FP STS に渡されてから RP に送り返されます。RP 側では、クレームが受信され、リソースが提供されます。RP から追加請求を行うにはどうすればよいですか?

どんな提案や方向性も素晴らしいでしょう! ありがとうございました、

STS (ADFS v2.0) からトークンを取得したクライアントのみが呼び出すことができるように、保護したい .xamlx ワークフロー サービスがあります。通常、「Web サイト」プロジェクト テンプレートを使用していて、.SVC サービスを追加している場合、これは非常に簡単に実行できます。「STS 参照の追加」ウィザードは、セキュリティで保護する必要があるサービスを見つけて、個別に保護します。依存者としてのあなた。

問題は、ワークフロー サービス アプリケーションに「STS 参照の追加」を実行すると、個々のサービスを保護するときに必要なアクティブなフェデレーションではなく、「パッシブ リダイレクト」セキュリティだけが得られることです。

誰でもこれを行う方法を知っていますか?

WIF 対応の WCF サービスに対して既に認証されている WIF アプリケーションからセキュリティ トークンを送信する方法を知りたいと思っています。

どんな支援も感謝されます

署名されていないSAML2.0または1.1がWCF.Net4.0でネイティブにサポートされているかどうかを教えてください。署名付きSAML1.1がWCFでネイティブにサポートされ、SAML 2.0がWIFでネイティブにサポートされていることは知っていますが、署名されていないSAMLに関する資料を見つけることができません。

FormsSignIn (ADFS でのフォーム認証) を使用して STS (ADFS 2.0) に対して認証するように構成された SharePoint 2007 ポータルがあります。匿名アクセスを許可するいくつかのページを SharePoint ポータルに配置する方法はありますか? SharePoint Central Admin で [匿名アクセスを有効にする] をオンにして、web.config に場所セクションを追加しようとしましたが、どちらも ADFS ログイン ページにリダイレクトされます。

ADFS ログイン サイトのブランドを変更したので、一般的ではなくなり、SharePoint ログイン ページのようになりました。これらの匿名アクセス ページを SharePoint から ADFS サイトに移動する必要がありますか?

ADFS は初めてで、ログイン プロセスをカスタマイズするためのベスト プラクティスが何であるかがわかりません。

ありがとう、