問題タブ [ws-federation]

クラウドにデプロイされ、次の認証シナリオをサポートする必要がある asp.net MVC Web アプリケーションを開発しています。

1. イントラネット上のドメイン ユーザーの透過的な認証。これらのユーザーは、サインインせずにアプリケーションにアクセスできる必要があります。
2. インターネット上の任意の非ドメイン ユーザーのフォーム ログイン。これらのユーザーには、フォーム認証を使用してログイン ページを表示する必要があり、メンバーシップはアプリケーションによって内部的に管理されます。
3. パブリック インターネット上のドメイン ユーザーのフォーム ログイン。非ドメイン ユーザーと同じログイン フォームを使用できる必要がありますが、代わりにドメイン資格情報を使用してサインインします。

パッシブ認証を使用した Active Directory フェデレーション サービス (ADFS) は、ケース #1 と #3 に対応できます。フェデレーション プロバイダーのログイン ページにリダイレクトされるため、2 番目のケースはカバーされません。私のアプリケーションによるアクティブ認証は 3 つのケースすべてをサポートできる可能性があることは理解していますが、これがどのように実装されるかについてのドキュメントはあまりありません。

理想的には、私のアプリケーションが ADFS フェデレーション プロバイダーでドメインのユーザー名とパスワードを認証する方法が必要です。

これが可能かどうかは誰にもわかりません。

Microsoft MVC4 Web Api を使用して作成され、WS-Fed を使用して WIF と Windows Azure Active Directory (WAAD) を使用して保護された多数の Web サービスがあります。

これらの Web API にアクセスする必要がある純粋な HTML5/Javascript シングル ページ アプリケーション (SPA) クライアントもあります。

WAAD とのやり取りを処理するための Javascript の既知のサンプル/ライブラリはありますか?

• ユーザーがすでにログインしているかどうかを確認します。
• ユーザーにログインし、必要に応じてセキュリティ トークンを取得します
• 対話が終了したらログアウトします。

そうでない場合、そのようなものを実装するために必要なドキュメントへの推奨リンクはありますか。

ADFS 2.0 を RP STS および SAML 2.0 ID プロバイダーとして使用して、IdentityProvider-Initiated SSO のテスト構成をセットアップしようとしています。これが私のセットアップです：

ID プロバイダー - ComponentSpace SAML v2.0 .NET プラグインを使用した SAML 2.0 トークン発行 Web サイト。

RP STS - asp.net アプリケーションとの RP 信頼関係を持つ ADFS 2.0 インスタンス。

RP アプリケーション - ADFS 2.0 STS への STS 参照を含む ASP.NET Web アプリケーション (WIF)。

したがって、ユーザーは ID プロバイダーの Web サイトにログインし、認証されます。その後、RP STS へのリンクが提供されます。このリンク (私が理解していることから) は、RelayState を使用して、ユーザーを転送する必要があるアプリケーションを RP STS に通知する必要があります。ADFS と IP Web ポータルの間に何らかの信頼関係を構築する必要があることはわかっていますが、それが何であるかはわかりません。私の問題は、これを行う方法を説明するための適切なリソースが見つからないことです。私が見つけたもののほとんどは、ADFS が ID プロバイダーでもあり、SAML 2.0 エンドポイントとして構成されていることを前提としています。私がやろうとしていることは不可能ですか、それとも適切なリソースが見つからないだけですか?

ありがとう！

私は、ws_federation と SAML を使用して、thinktecture と呼ばれる .net で実行されている IIS サーバーで実行されている ID プロバイダーを認証するプロジェクトに取り組んでいます。

SAML 認証要求を ID プロバイダーに送信し、Java Web アプリで SAML 応答を取得する Java サービス プロバイダーを作成する必要があります。

SAML を検証するための優れたライブラリがあるかどうかを知り、それを設定するための指示や、開始に関するチュートリアルへのリンクを教えてください。spring_security-saml_extensions を試してみましたが、ID プロバイダーのメタデータ リンクを構成ファイルに入れようとするとエラーが発生し続けます。

どんな助けでも大歓迎です！

また、ソリューションを既存の Java Web アプリケーションに統合できれば素晴らしいことです。

いくつかの追加情報:

以下は、私が取り組んでいる SP の IDP によって返された応答から取得できる XML です。これは SAML トークンであるという印象を受けました。

現在、フォーム認証を使用してサブドメイン間で認証を行っています。したがって、次のサーバーがあります。

Forms Auth Cookie を共有できます。これが可能になる方法へのリンクは次のとおりです 。 http://msdn.microsoft.com/en-us/library/eb0zx8fc(v=VS.100).aspx

しかし今、アプリケーションにクレームを追加しています。この行を呼び出すと、次のようになります。

シリアル化および暗号化されたクレームを含む "FedAuth=" Cookie が書き込まれていること。

しかし、現在、1 つのサブドメイン (site1) に FedAuth Cookie を設定して、他のサブドメイン (site2) に読み取らせることができません。次のエラーが表示されます。

Forms Auth を使用する前は、これは問題ではなく、機能していました。

すべてが同じドメインを使用するサブドメイン間でこれらの FedAuth Cookie を共有するには、何をする必要がありますか?

はい、両方のサイトの web.config ファイルに同じ machineKey があります。また、各サイトのアプリケーション プールの loadProfile 設定は false に設定されています。

STSを使わずにこれを実行できるようにしたい. STS はオーバーヘッドと複雑さをもたらします。FedAuth Cookie サブドメイン フレンドリーにラップされたクレームを使用できない理由がわかりません。

ありがとう、マイク

アップデート：

ADFS でユーザーを証明書利用者アプリケーションに転送することができました。ComponentSpace の SAML2.0 ライブラリと RelayState を使用しました。WIF アプリケーションに正常に転送されますが、ユーザーが認証されたと認識されません。代わりに、IDP STS にリダイレクトすることで、SP が開始する SSO シナリオを開始します。どのように進めればよいのかよくわかりません。

オリジナルメッセージ：

次の方法でシングル サインオン セットアップを構成しました。

IDP - SAML2 応答を SP に投稿するポータル Web サイト。

SP - SAML2.0 エンドポイントとして構成されたクレーム プロバイダー信頼で構成された ADFS 2.0 (もちろん私の IDP を使用)

RP アプリケーション - ADFS (WS-Fed) で証明書利用者信頼として構成された ASP.NET アプリケーション。

IDP にログインし、SAML2 トークンを ADFS にポストするリンクをクリックすると、すべて正常に動作します。IdpInitiatedSignOn.aspx ページに移動すると、ログインしたことが通知されます。問題は、通常、選択するアプリケーションのドロップダウン リストが表示されることを期待する場所です (単一の RP アプリケーションのみが含まれている必要があります)。何も見えません。すべてのアプリケーションまたは 1 つのアプリケーションからサインアウトできるボタンは 2 つしかありません。私が認識していない RP アプリケーションの信頼を構成するためのトリックはありますか? ADFS 2.0 が SAML2 と WS-Fed のこの構成を受け入れることは、私の理解でした。( 「いつ RelayState を使用できますか?」の下のhttp://blogs.technet.com/b/askds/archive/2012/09/27/ad-fs-2-0-relaystate.aspxを参照してください)。

これに関するアドバイスをいただければ幸いです。