問題タブ [ws-federation]

私の会社では、プロジェクトに wsFederation 認証を使用できるかどうかを確認するために POC を作成する必要があります。このプロジェクトには、MVC アプリ、いくつかの webapi コントローラー、およびいくつかの signalR ハブがあり、すべて異なるプロジェクトにあります。また、クライアント アプリと ID プロバイダー アプリの両方で OWIN 認証ミドルウェアを使用したいと考えています。

最初は、Thinktecture Identity Server v2 を ID プロバイダーとして使用します (ただし、いずれ独自に開発する必要があります)。MVC アプリの場合、SAML2 トークンを使用すると、非常に簡単で正常に動作します。

しかし、Web アプリで認証されたユーザーがajax 呼び出しを使用して Web API アプリ (MVC とは異なります) からコントローラー メソッドを呼び出せるようにしたいので、状況は少し複雑になります。

委譲と actAs トークンについて多くのことを読みましたが、少し迷っており、この部分をどこから、どのように開始すればよいかわかりません。また、OWIN 認証を使用した委任については何も見つかりません。

だから私の最初の質問は、これを達成することは可能ですか? そして、誰かが私を正しい方向に向けることができますか?

会社の wsFederation POC に取り組んでいます。このソリューションは、MVC アプリと webapi サービスでも機能するはずです。新しい OWIN 認証ミドルウェアを使用して、MVC アプリで動作させる方法を見つけました。その時点で、SAML2 トークンを取得しています。

javascript で次のように認証ヘッダーに SAML トークンを渡し、webapi コントローラーからメソッドを呼び出す ajax 呼び出しを行いたいと思います。

Firebug (または同等のもの) では、ヘッダーにトークンが十分に取り込まれていることがわかります。

サーバー側では、Thinktecture の Owin 拡張メソッドを使用して、トークンを取得して確認しようとしています。

ここで読んだように：http://leastprivilege.com/2013/10/31/adding-saml11-and-saml2-support-to-katanaowin/

しかし、何も起こらないようです。

このメソッドは、探していることを実行する必要があるように見えるため、メッセージハンドラーの追加を避けたい...

何か案が ？

現在、独自の認証データベースと通信する MVC4 自家製のセキュア トークン サービス (STS) を使用しています。このセットアップでは、すべてがうまく機能しています。新しい機能として、ADFS2 を介して、ドメインにいるユーザーに対してシングル サインオン (SSO) の機能を追加する必要があります (現在の un/pw 画面をバイパスし、ユーザーはただ 'in' になります)。ドメイン ユーザー (SSO)、ドメイン クレデンシャル (ドメイン上にないドメイン ユーザーがドメイン un/pw に入る)、およびデータベースからの元の un/pw 認証です。Web.config 設定を依存アプリケーションに追加して STS を接続する方法について知っている場合、wsFederation パッシブ リダイレクト オプション (un/pw の STS への現在のリダイレクトと ADFS オプション) の両方を接続するにはどうすればよいでしょうか? これはコードで処理する必要があるものですか? WSFederationAuthenticationModule などのオーバーロードされたクラスを通じて? 私が望むものを処理する最良の方法は何ですか? コード例はありますか? 御時間ありがとうございます！

WS-Federationエンドポイントでアプリケーション (サービス プロバイダー) からプロトコルとログアウトを使用するとhttp://pingserver.com:Port/idp/prp.wsf?wa=wsignout1.0、Ping が提供する IdP ログアウト テンプレートにリダイレクトされます。

しかし、SAML プロトコルを使用してエンドポイントhttp://pingserver.com:Port/idp/SLO.saml2?SAMLRequest=でアプリケーション (サービス プロバイダー) からログアウトすると、SP ログアウト ページにリダイレクトされます。

Ping 側で同じ IdP アダプターを使用しているのに、なぜ動作が異なるのか。Ping は最後のアクションを同じように処理するべきではありませんか?

私は.Net 4.5を使用しており、IDプロバイダーで構成されたASP.netサービスを実行しています。ワイルドカードを許可するように AudienceUri 検証アルゴリズムを変更するか、サブドメインを無視するように構成したいと考えています。

このページ: http://msdn.microsoft.com/en-us/library/system.identitymodel.selectors.samlsecuritytokenauthenticator.allowedaudienceuris(v=vs.100).Aspx

備考で次のように述べています。

必要に応じて、ValidateAudienceRestriction メソッドをオーバーライドして、許可された URI に使用する検証アルゴリズムを指定します。

新しいクラスを作成し、SamlSecurityTokenAuthenticator から継承してメソッドをオーバーライドする必要があることを理解しています。しかし、このオーバーライドを適用する方法がわかりません。新しいクラスをインスタンス化して、FederationAuthentication などのクラスの静的メンバーに割り当てる必要があると思いますが、適切なクラスが見つかりませんでした。

誰でもこれにアプローチする方法を明確にしてもらえますか?

WIF を使用して構築されたカスタム STS の証明書利用者である WCF サービスがあります。私の STS は、私のクライアント アプリケーションにホルダー オブ キー トークンを発行します。既存の「フロントエンド」サービスから呼び出す必要がある新しい「バックエンド」WCF サービスを作成しました。 STS から新しいトークンを取得せずに、フロントエンド サービスで着信セキュア トークンを使用してバックエンド サービスを呼び出すにはどうすればよいですか?

これまでのところ、私のフロントエンド サービスでは、カスタム Saml11SecurityTokenHandler を使用して着信 SamlSecurityToken に問題なくアクセスできます。

その後、アウト オブ バンド トークンをターゲット バックエンド サービスのサービス呼び出しにアタッチする 2 つの異なる方法を試しました。

1. カスタム IssuedSecurityTokenProvider を作成する
2. ChannelFactoryOperations.CreateChannelWithIssuedToken を使用する

ただし、これらの試みはどちらもエラーになります。私が知る限り、それは同じ行き止まりのようです - 彼らは署名された SamlSecurityToken を受け入れません。これらのメソッドはどちらも基本の SecurityToken クラスを受け入れますが、両方とも、SamlSecurityToken ではなく GenericXmlSecurityToken インスタンスが与えられた場合にのみ機能するようです。

更新: これは、箇条書き 1のコード サンプルと例外の詳細です。

更新 2: さらに調査を行った結果、私が見つけた最も近いものは、基本的に ActAs トークンのみを使用する WIF/ADFS のID 委任の使用に関する記事でした。この記事では、フロント エンド サービスがトークンを使用して STS に要求を発行します。クライアント アプリケーションから受け取ります。これには、カスタム STS の更新が必要になりますが、現時点では更新しないことを望んでいます。私の図に示したアプローチが、WIF や WS-Trust でも有効なのかどうか疑問に思い始めています。

thinktecture identityserver v2による共通認証のサイトが多数あります。

ここで、サイトへのログインのログを取得したいと考えています。ユーザー ログインをログインできるカスタム IUserRepository がありますが、ユーザーがログインしているサイトを取得するにはどうすればよいでしょうか。

そして、あるサイトから別のサイトにジャンプするとき、どのようにログに記録できますか

これに対するサポートが組み込まれていない場合、コードを変更するのに最適な場所はどこですか?

URIに基づいてレルムを取得できるメソッドでWSFederationController実行できるようです。Issue

ラルシ

web.config に構成があり、正常に動作します。

これを web.config からカスタム構成ファイルに移動し、コードからロードするにはどうすればよいですか?

この構成ファイルを変更する必要がある場合にコードを変更する必要がないように、この構成と同じ構造を使用したいと考えています。