問題タブ [ws-federation]

WCF に関する ADFS の私の理解 (またはその欠如!) を誰かが確認できることを望んでいました。

きれいな図も描きました。

「Bob」は、クライアントのドメインでホストされている Web アプリを使用します。クライアントは、AD を介して Bob を認証します。ただし、Web アプリは、サプライヤーで開発およびホストされている WCF サービスを使用します。

クライアントとサプライヤーの間には信頼が確立されています。

私の質問 - Web アプリが WCF サービスを使用する場合、WCF サービスに "Bob" を再認証してもらいたいのですが、WCF サービスはクライアント上の ADFS サーバーから返されたクレームを使用できます。

この絵は正しいですか？

STS および RPS に対して認証するために wsfederationhttpbinding を使用する WCF クライアントを作成しました。最近、(Fiddler を使用して) STS から受信した応答に証明トークンの SymmetricKey が含まれていることに気付きました (要求するようにクライアントを構成したため) が、証明トークンは暗号化されていません。

これに関するいくつかの質問:

1. 私が理解しているように、プルーフトークンが暗号化されていない場合、意味がありません（たとえば、中間者攻撃を防ぐために何もしません）
2. 証明トークンを暗号化するように STS に要求するにはどうすればよいですか?
3. 証明トークンを暗号化するために、RST の公開鍵を STS に提供できますか?
4. その場合、これを行うように WCF クライアントを構成するにはどうすればよいですか?

前もって感謝します...

これらは、Microsoftサービスでのシングルサインオンに使用される多数のテクノロジと流行語です。

ADFS、WIF、WSフェデレーション、SAML、およびSTS（セキュリティトークンサービス）について、それぞれがいつどこで使用されているかを含めて、誰かが説明できますか？

ADFS 2.0、WIF (WS-Federation): ユーザーが最初に IdP Web サイトにアクセスして認証を受けるシナリオで SSO を実装したいと考えています。このシナリオでは、顧客は、(サービス プロバイダー) Web サイトへのリンクを含むイントラネット Web ポータルを持っています。これは実際に IdP Web サイトに誘導し、ユーザーが認証されるとすぐに Web サイトにリダイレクトします。適切に実装する方法に関する技術的な詳細を含む情報を見つけることができませんでした。

これまでに行ったことは、Fiddler を使用して IdP へのリダイレクト リンクを取得し、ポータル リンクとして使用することで動作するように見えますが、それが適切な方法であるかどうかはわかりません。同じような経験をお持ちの方、教えてください。

更新: より詳細なユース ケース: 当社の顧客は、当社の Web サイト (サービス プロバイダー) へのリンクを備えた独自のイントラネット ポータルを持っています。追加の初期 http リダイレクトを回避し、さまざまな顧客に対して単一のエントリ ポイントを用意して、Web サイトがユーザーからのセキュリティ トークンを信頼して顧客の身元を認識できるようにすることです。 . ユーザーがリンクをクリックすると、まず独自のイントラネット IdP サービス (ADFS 2.0) に誘導されます。ADFS 2.0 は、ユーザーを Windows アカウントで認証し、セキュリティ トークンを追加して、ユーザーとその組織を認識できる (証明書利用者) Web サイトにユーザーをリダイレクトします (トークンによって、彼は私たちのサービスを利用することができます。シナリオに問題があるか、疑わしいと思われる場合はお知らせください。

Saml2SecurityTokenHandlerを使用して、内部プロバイダーまたはACSからのSAML2ベアラートークンを検証します。プログラムでハンドラーを構成して問題なく検証することはできますが、構成ファイルのmicrosoft.IdentityModelセクションから構成を取得したくないようです。SecurityTokenHandlerCollectionManagerの構築にも名前付き構成セクションの概念がないようであるため、mySaml2SecurityTokenHandler .Configuration--mySecurityTokenHandlerCollectionManager["NAME"]。Configurationを使用できないようです。

これをどこかに設定する良いサンプルはありますか？

ADFS 2.0、WIF (WS-Federation)、ASP.NET: Web.config で定義された http モジュールや IdentityFoundation 構成はありません (ほとんどの WIF SDK サンプルが示すように)。および SignInRequestMessage クラス。私はコードで ADFS に http リダイレクトを行いますが、正常に動作しているようで、クレームを返し、http 要求でシリアル化されたクレームを使用してユーザーを Web サイトにリダイレクトします。問題は、WIF クラス、プロパティ、およびメソッドを使用してこの要求を解析し、そこからクレーム値を抽出する方法です。ありがとう

少し混乱しました。Web サービスのユーザーが LDAP 経由で認証できるようにする WS-Federation がある場合、サービス コードで WS-Federation または System.DirectoryServices 名前空間を使用すると、どのような違いがありますか?

ありがとうございました

FedMetadata ドキュメントがサインアウト通知とサブスクリプション エンドポイントを提供できること、および web.config がサインイン要求の発行者 URL を定義していることがわかりますが、WIF がサインアウト要求の送信先を認識している場所が見つかりません。使用している STS がサインインとサインアウトの要求に対して異なるエンドポイントを定義している場合、コードでアクセスしたり、web.config で設定したりするにはどうすればよいですか?

もう1つのWIF関連の問題-ws2007FederationHttpBindingエンドポイント用にwcfでhttpsを構成する方法を誰かに教えてもらえますか。証明書とバインディングはすべてIISで設定されていますが、エンドポイントに接続しようとすると404エラーが発生します。私のバインディングはこのように見えます

エンドポイントは次のようになります

何をすべきかを見るのに本当に苦労しています。

マット

SAML-P（SAML 2.0アサーション）を使用するIdpとWS-Fed / WS-Trust（SAML 1.1アサーション）を使用する応答側をフェデレーションするためのADFS以外の可能なオプションを知っている人はいますか？