問題タブ [wif]

IIS 6でSessionAuthenticationModuleを使用すると問題が発生します。アプリケーションにアクセスしようとすると、次の例外が発生します。

データ保護操作は失敗しました。これは、現在のスレッドのユーザーコンテキストに対してユーザープロファイルがロードされていないことが原因である可能性があります。これは、スレッドが偽装している場合に発生する可能性があります。

私が理解できたのは、IIS 7でプロファイルを有効にすることは可能ですが、ホスティング会社はIIS6を使用しているということです。何か試してみませんか、それとも一般的なアイデアですか？

スタックトレース：

ADFS 2.0 環境を学習しようとしているときに、Visual Studio 2010 を使用して RP となる空の ASP.NET クレーム対応アプリケーションを作成しました。

ADFS 2.0 を使用して、次のことを行いました。

1. 「証明書利用者信頼の追加...」ウィザードを使用して SAML 2.0 証明書利用者を作成しました
2. 「クレーム プロバイダー信頼の追加...」ウィザードを使用して、SAML 2.0 クレーム プロバイダーを作成しました。

今、私は次の手順を実行しました：

• ブラウザーがhttp://localhost/adfs/IdpInitiatedSignOn.aspxを指すようにしました
• 手順 1 で定義した RP をコンボ ボックスからサインインするサイトとして選択しました。
• 次のページで、手順 2 で定義した IDP をコンボ ボックスから認証サイトとして選択します。
• [サインインを続ける] をクリックしました

ADFS 2.0 は、IDP 用に構成された URL にリダイレクトし、SAMLRequest が要求に添付されます。（これは素晴らしい）

ただし、IDP に到着した SAML リクエストには ACS URL が含まれていません (より技術的には、「AssertionConsumerServiceURL」の XML ノードはありません)。

ACS URL は SAML リクエストの必須属性ではありませんか?

ありがとう ！ヨアシュ

ユーザーがパッシブ セキュリティ トークン サービス (STS) を介してログインした後に証明書利用者で作成される Cookie に適用されるタイムアウト期間を構成したいと考えています。これはデフォルトで14分に設定されているどこかで読んだと思いますが、これを読んだ場所が見つかりません。

これをもっと妥当な 35 分程度に増やしたいと思います。

変更する正しい値です

これが正しい場所である場合、値は分単位ですか? これに関するドキュメントがどこにも見つからないようです。

現在、アプリのコピーをローカル IIS に debug.wifclientapp.com として展開しており、認証のために ADFS サーバーに移動しますが、認証が成功した後にリダイレクトすると、テスト インスタンスである www.wifclientapp.com に移動します。リモートサーバー。

最初にテスト インスタンスをセットアップします。元のサイトにリダイレクトするにはどうすればよいですか?

別の WCF STS サービスによって発行されたセキュリティ トークンを必要とする WCF サービスがあります。これはすべてうまく機能します。私のアプリケーションでは、次のようにサービスを使用します。

STS サービスが呼び出されてトークンが取得され、そのトークンを使用してサービス メソッド DoStuff が呼び出されます。

ただし、最初のハンドシェイクが終了すると、myServiceオブジェクトはトークンをキャッシュし、有効期限が切れるまで再利用します。これは問題のない動作ですが、トークンを強制的に更新するにはどうすればよいですか?

DoStuff() をもう一度呼び出すと、最初に行ったのと同じように、STS に再度アクセスする必要があることがわかります。

新しいプロキシクラスオブジェクトを作成するだけで行き詰まっていmyService = new MyServiceClient();ますか? これは機能しますが、核爆弾の解決策のようです。

または、新しいトークンを手動で取得して現在のトークンを置き換える方法はありmyService.ClientCredentials.Renew();ますか?

これを行うためにカスタム ClientCredentials クラスを作成する必要がある場合、上記のサンプル メソッドをどのように実装しますか?

1 つの IIS Web サイト/アプリケーション プールで多数のドメインを実行しています。現在、Windows Identity Foundation で SSO を実装しています。

web.config では、レルムを設定する必要があります

私の問題は、ユーザーがWebサイトにアクセスしたドメインにレルムが依存しているため、このようにグローバルアクションフィルターに設定したことです

私の質問はです。このようにレルムを設定すると、ユーザー インスタンスまたはアプリケーション インスタンスごとに設定されます。

シナリオ。

ユーザー A がページを読み込み、レルムが domain.a.com に設定されます。

ユーザー B は既に domain.b.com にログインしており、ログインを押します。

ユーザー B がログインを押す前にユーザー A がページをロードしたため、ユーザー A は間違ったレルム セットで STS にヒットします。

ここで何が起こりますか？

これがユーザー インスタンスごとにレルムを設定する方法でない場合、別の方法はありますか?

私は、実際には完全なSAML応答XMLドキュメントであるBase64でエンコードされた文字列を返すWCFサービスに取り組んでいます。この情報はベンダーに渡されるため、SAMLドキュメントの外観とエンコード方法に関するベンダーの要件を満たす必要があります。要件を満たす出力を取得できません。

WCFとWIFが一緒に役立つはずです。私は当初、WIFを使用してサービスを構築し、SAMLアサーション（トークン）とその他のC＃コードを作成して、最終的なSAMLドキュメントを生成しました。ドキュメントの<EncryptedData>ノードを除いて、これらはすべて機能し、ベンダーの要件を満たしています。このセクションではAES256とRSAOAEPを使用していますが、ベンダーはAES128とRSA15を望んでいます。したがって、私は解決策を探しています。どんな助けでも大歓迎です。

これがウォークスルーです。

このサービスは、データベースを呼び出してフィールドを返すために使用されるGUIDを受け取ります。これらは次のように使用されます。

次に、次のようなSecurityTokenDescriptorを作成します。

クレームは次のように記述子に追加されます。

記述子は、次のようにトークンを暗号化するように指示されます。

GetEncryptingCredentials（）ルーチンは次のようになります。

これらすべてがトークンを生成し、ファイルに書き込むと次のようになります。

素晴らしいですよね？いいえ。ベンダーは、次の子ノードを持つために<EncryptedData>セクションを必要とします。

そして、これを表示するには、<KeyInfo><EncryptedKey>セクションが必要です。

GetEncryptingCredentials（）ルーチン内で考えられるすべての組み合わせを試しました。望ましい結果が得られたものはありません。私が受け取る最も有望なエラーメッセージは次のようになります。

ID4178：SecurityTokenDescriptorで提供されるEncryptingCredentialsは、非対称キー用です。トークンを暗号化するには、EncryptedKeyEncryptingCredentialsを使用する必要があります。

誰か提案がありますか？最初からやり直すように言ってください。大丈夫です。これを機能させる必要があります。

前もって感謝します。

これはすべて間違っているかもしれませんが、ロールベースのASP .NETフォーム認証を取得し、他のアプリケーションとのフェデレーションをサポートするためにWIFに移植したいと思います。

これは幅広い質問ですが、WIFを使用してフォーム認証を行うにはどうすればよいですか？これは有効な質問でさえありますか、それとも私は何かを誤解していますか？私が見たすべての例には、ADとSTSが含まれています。まだSTSサーバーのホスティングを開始したくはありませんが、今後フェデレーションセキュリティを追求できるように、クレームベースのモデルでコードを構造化するだけです。

助言がありますか？

Java ベースの STS サービスがあります。WIF が提供するクレーム ベースの認証にこの STS を使用したいと考えています。誰かがこれを達成する方法について洞察を提供できますか? 私が遭遇したすべての例は、C# ベースの STS と C# ベースの RP を使用しています。私の場合、RP は C# にすることができますが、STS は Java である必要があります。具体的には、要求された SAML がどのように STS に渡され、クレームの形式が RP に戻されるかを知りたいと思います。

ありがとう、ソムナス

WCF restful サービスを iphone/ipad クライアントに公開する必要があるプロジェクトがあります。WCF が機能したので、ユーザー名とパスワードで保護する必要があります。

何らかの理由で、私はCustomBasicAuthを使用することに少し気が進まない

Oauth も今のところ WCF の世界では理想的ではありません。それを回避するにはラッパーを作成する必要があります。私が間違っている場合は修正してください。

今、私は Windows Identification Foundation を見ています。正直なところ、これは賢明な方法のように見えますが、ドキュメントが不足しています。

考慮しなければならないことが 2 つあります。

1. 実装は iPhone フレンドリーでなければなりません (.net の世界だけでなく)。

2. 実装をクラウド (Azure) に簡単にデプロイする必要がある

あなたがどの選択肢を選ぶか、またそれを選んだ理由を教えてください。リンクや参照は大歓迎です。