問題タブ [ws-federation]

SessionAuthenticationModuleクラスのイベントの1つはですSessionSecurityTokenReceived。これにより、ADFSから受信したセッショントークンを確認できます。と呼ばれる2つのSessionTokenプロパティとして。現在の構成では、これら2つの差を取るのは1時間です。AD FSの設定を確認しましたが、この値を変更する方法を見つけることができませんでした。誰かがそれがどこにあるか知っていますか？ValidFromValidTo

次のようなメッセージを作成しています。SignInRequestMessage

次のプロパティがあります。

Microsoft.IdentityModel.Protocols.WSFederation.SignInRequestMessage

Action: "wsignin1.0"

message.Parameters

メッセージの2番目のパラメーターがjavascriptであり、adfsがそれにリダイレクトすると、実際にアラートが表示されることに注意してください。

これは、ユーザーがログインしているときに発生し、同じセッション内で次のようにURLを入力しようとします

wtrealmこのクロスサイトスクリプティングの脆弱性を防ぐ方法について誰かが提案を持っていますか？

Azure でホストされ、認証に Windows Identity Framework を使用する ASP.NET Web アプリケーションを開発しています。

問題は、ID プロバイダー (MS Live ID) からの応答を処理する方法です。

構成要素 wsFederation にこの目標の応答属性が含まれていることがわかりましたが、reply="http://localhost:64911/Pages/HandleUserLogin.aspx" に設定した後は何の効果もありません。

AudienceUris セクションに、「http://localhost:64911/」のレコードを追加しました。

ユーザーがログインした後の応答の処理方法についてのアイデアをいただければ幸いです。

作業中のWIFベースのリライアントパーティアプリケーションのログで次のエラーが発生し、問題を再現できません。

考えられる問題を読んで、このTechnetの記事を読んで、問題はSTSからRPにPOSTされたwresultパラメーターにあると思いましたが、改ざんされていない限り、それがどのように誤って返送されているかはわかりません。問題の量が原因です。

誰かがこのタイプのエラーの原因とそれがどのように発生する可能性があるかを確認できれば、それは大いにありがたいです。

一部のユーザーをフェデレーション認証に、他のユーザーをフォーム認証にできるように、混合モード認証を作成しようとしています。

私は WIF を使用しており、STS をセットアップしましたが、次のようにすべての認証をオフにしてフェデレーション モードにしているときは、すべて問題ありません。

メイン アプリケーションにログインし、サイド アプリケーションにログインすると、セッション Cookie が既に生成されており、ユーザーが認証されているため、サイレント モードでログインできます。

しかし、フォーム認証を使用すると、サイドアプリケーションにログインすると、ユーザーが認証されていないため、理解できるログインページに移動しますが、セッション Cookie を持っていても、サイレントにリダイレクトされていないようです。

ユーザーを認証するには、onEndRequest を STS にリダイレクトする必要があることを知っています。ユーザーが既に認証されている場合は、FedAuth Cookie が生成され、サイレント モードでログインされます。

誰かがこれを実装する方法を知っていますか?私が調査したとき、それに関するリソースは見つかりませんでした.

アラー

ASP.NET アプリケーションが STS (Thinktecture IdentityServer) に対して認証できるように、WS フェデレーションで WIF を使用しています。私の RP では、ユーザーの主張に基づいて Cookie の永続性を実用的に設定したいと考えています。

Fiddler でトラフィックを監視すると、STS トークンが RP にポストされると、WIF FedAuth Cookie が最初に設定されることがわかります。Cookie が設定される前に、いくつかのイベントをインターセプトし、現在のクレームに応じて Cookie を永続的に (または永続的にしないように) 設定したいと考えています。

web.config で Cookie の永続性を設定できることは理解していますが、この動作はユーザーに基づいて条件付きにする必要があります。

私の最初のアプローチは、さまざまな SessionSecurityTokenCreated イベントを処理することでしたが、これらのイベントは決して発生しなかったようです。 ハンドラーを間違って追加していませんか? または、これを行うより良い方法はありますか？

興味深いことに、SessionAuthenticationModule_SessionSecurityTokenReceived のハンドラーを追加すると、このイベントが発生するようです。ここで、Cookie を再発行してIsPersistent = trueを設定できますが、これは Cookie が最初に設定されるまで起動されないため、Cookie が最初に発行されたときにこれを行うことをお勧めします。

少しテストした後: SessionAuthenticationModule_SessionSecurityTokenReceived で Cookie を再発行すると、SessionAuthenticationModule_SessionSecurityTokenCreated が起動されます。トークンが最初に RP に POST されたときに、Cookie の最初の作成時にこれが起動されない理由がわかりません。

Win 7、IIS 7.0、VS2012 を実行しています asp.mvc4 Web アプリを作成しました 別の VM に ADFS2.0 があります

VS 2012 で ID およびアクセス ツールを使用する

ビジネス ID プロバイダー (ADFS2 など) を使用することを選択し、STS メタデータ ドキュメントへの URL を入力します。

https://server.local/federationmetadata/2007-06/federationmetadata.xml

ウェブ構成を編集しました

この

また、プロジェクトの Windows 認証が無効になっていることも確認しました

Web サイトは http:// localhost /WebSite/login.aspx?ReturnUrl=%2fWebSite%2f のような URL にリダイレクトされ、「リソースが見つかりません」というエラーが表示されます。

これを機能させるには、他に何をいじる必要がありますか?

Microsoft doco は軽量ですhttp://blogs.msdn.com/b/vbertocci/archive/2012/03/15/windows-identity-foundation-tools-for-visual-studio-11-part-iii-connecting-with -a-business-sts-eg-adfs2.aspx

私はすでにローカル開発 STS MS Identity and Access Tool MVC 4で同様の問題を抱えています

認証に Azure ACS (および間接的に ADFS) を使用する ASP.NET アプリがありますが、これはすべて正常に動作します。ここで、SessionToken を別のバックエンド サービスに渡し、そこで検証してクレームを抽出するよう求められました。[長い話、私の選択ではありません]

私は復号化側に問題があり、基本的なものが欠けていると確信しています。

ステージを設定するために、復号化時のエラーは次のとおりです。

ASP.NET Web サイトでは、RSA ラッパー ala を使用しています。

(拇印は、web.config で FedUtil によって追加された値と同じです。

トークンを次のように記述します。

それは私に与える：

そして、もう一方のボックスに同じ証明書 (およびテスト用にファイルとして読み取られたトークン) を使用すると、次のようになります。

そして、ReadToken は次の FormatException をスローします。

現時点では、私の全体的なアプローチに欠陥があるのか​​、それともすべてを修正することわざの「1 行」が欠けているだけなのかはわかりません。

ああ、私は Web サイト (.NET 4.0) に VS2010 SP1 を使用しており、デコード側で VS2010SP1 .NET 4.0 と VS2012 .NET 4.5 の両方を試しました。

ありがとう！

Azure ACS から戻ると、FormCollection 内のフェデレーション認証結果を取得します。必要な情報を含む値は、「wresult」と呼ばれる暗号化された値の中にあります。この値を解読してさらなる認証に使用するのに問題があります。

Cookie の設定を承認しないため、WSFederationAuthenticationModule を使用したくありません。モジュールが使用されると、Federated-Authenticationtype で auth-cookies が自動的に設定されます。

代わりに、wresult に含まれるクレームを取得し、独自のセキュリティ トークン (JWT、SAML 2.0 など) を設定したいと考えています。

これまでに見つけた唯一の回避策は、FAModule を使用し、セッション トークン Cookie をすぐに削除することです。ただし、これにより、応答で auth-cookies が値とともに 2 回設定され、すぐに設定が解除されます。

最終的に達成したいことは次のとおりです。フォーム サイトで認証するか、Azure ACS の任意の ID プロバイダーを使用して認証する可能性を提供します。フォーム認証を使用すると、ユーザー名とパスワードをすぐに比較して、セキュリティ トークンに必要なクレームを設定できます。しかし、Azure ACS を使用する場合は、最初に取得した nameidentifier をデータベースに保存されている値と比較してから、WS フェデレーションの代わりにカスタム セキュリティ トークンを設定したいと考えています。または、nameidentifier が不明な場合は、ユーザーが自分の資格情報でこの nameidentifier を認証できるフォーム ページにリダイレクトしたいと考えています。Azure ACS の戻り値を認証済みとして計算したくありません。

STS ID プロバイダーの関連付けをオンにして Web アプリケーションを設定したいと考えています。

テスト Web アプリケーションを準備し、必須の WIF データをすべて WIF フェデレーション ユーティリティで設定し、STS サービスをターゲットにしました。それは大丈夫です。テスト STS からトークンを受け取りました。現在、次のシナリオを達成する方法がわかりません。ユーザーがアプリケーションにアクセスし、ログオンしていません。ログインページが開き、ユーザーが資格情報 (ユーザー名とパスワード) を提供すると、私のページはその要求を STS サービスにリダイレクトする必要があります。現在、WSFederationAuthenticationModule http モジュールは自動的に HTTP 要求をインターセプトし、それが許可されていないと判断すると、その要求を STS にリダイレクトしています。私が間違っている場合は修正してください。自動アクションの場合は混乱しています。ユーザーがデータを提供しているステップはどこですか?? WS-Federation 標準を達成したいと考えています。

ありがとうございました。