問題タブ [ws-federation]

SAML 2.0 を送信する IDP を使用して Web アプリケーションがユーザーを認証する必要があるシナリオがあります。具体的にはSiteMinderです。SAML 2.0 アサーションを送ってくれると言われました。

これにまったく慣れていないので、調査して、それが何であるかについてかなりのアイデアを得ました。また、私が参照したこのリンクは、 STSが2つの役割を果たすことができると述べています（ユーザーを認証するときのIDプロバイダー（IdP）として、またはフェデレーションプロバイダー（FP）として）彼らは信頼チェーンの真ん中に位置し、他の IdP の「証明書利用者」として機能します) これにより、ADFS しか使用できないという結論に至りました。

また、この素敵なプロジェクトを Web サイトhttp://thinktecture.github.io/で他の情報と一緒に見ました。これにより、クレーム ベースのアプリを正常に立ち上げて実行し、多くの概念をクリアすることができました。Identity Server を STS として使用する必要があるかどうかわかりません

これらすべてを踏まえて、私にはこれらの質問が残されています。

1. SAML 2.0 を実行する IDP をサポートするには、IDP と APP の間にある STS (thinktecture の Identity Server V2 を使用する可能性がありますか?) を作成する必要がありますか?

2. また、SAML をサポートする ADFS を使用して ADFS と通信するという人もいます。

3. 私はすでに SAML Lib を持っている ComponentSource の調査を開始しました。

ご意見をお聞かせください。

私は、さまざまな領域と非常に細かい権限を持つアプリケーションのフェデレーションに取り組んでいます。さまざまな領域のそれぞれに、サーバーと通信するためのフェデレーション WCF エンドポイントがあります。パーミッションがきめ細かく設定されているため、すべてのパーミッションを含む 1 つのトークンは最大 1MB、場合によってはそれ以上になる可能性があります。

要件では、最初のログイン プロセスの後、ユーザーのユーザー名とパスワードの資格情報をコード ベース内に保持してはならないことが規定されています。アクセス許可を組み合わせて小さなセットを作成することはできません。STS の実装に Thinktecture.IdentityServer を使用しています。

私が提案する解決策は、STS で各エンドポイントを独自のレルムに分割することです。STS は、レルムに対して指定されたアクセス許可クレームを含むトークンを返します。これを達成するには、ユーザー名/パスワードによって認証され、ユーザー、テナント、およびサブグループ ID を含むトークンを返す Auth レルムが必要です。これらの ID は、他のレルムへの認証のための資格情報として使用できます。

レルムに固有のトークンを発行するための STS のセットアップは、既に実装されています。残っている唯一の要件は、ユーザー名/パスワードがコード ベース内に保持されていないことです。

特定のレルムから以前に発行されたトークンを提供することにより、認証を許可するように STS を構成することは可能ですか? 私が思いつかなかったより良い解決策はありますか？

パートナーに公開したいセキュリティで保護された Web アプリケーションがあり、パートナーのクライアントは、アプリケーションでホストされているフォームに直接情報を取り込むことができます。

フォームは、パートナーの Web アプリケーションに埋め込まれた iframe に表示されます。iframe の URL は私のアプリケーションを指し、パートナーが iframe をレンダリングする前にパートナーに発行した何らかの形式のセッション トークンが含まれます。

アプリにユーザーの資格情報を保存したくありません。必要なのは、ユーザーがパートナーによって認証され、ホストしているアクションを実行する権限があることをパートナーと検証するメカニズムだけです。

私は SAML と oAuth を見てきましたが、ID プロバイダーが実装するにはどちらも非常に複雑に思えます。複雑さのほとんどを自分で実装し、パートナーに統合の簡単な手段を提供したいと考えています。

つまり、重要なのは、ID プロバイダーにとってシンプルなソリューションを見つけることです。

例：

パートナーは、定義済みのエンドポイントを介してセッション トークンを要求します (ユーザーが実行する必要があるアクション、ユーザーのユーザー名または ID、および応答を検証するためのクライアント トークンを指定します)。

https://myapp.com/getsession/?username=bob&action=action1&token=CLIENT_SESSION_TOKEN

SERVICE_SESSION_TOKEN を返します。

パートナーは、次の URL を含む iframe をアプリに埋め込みます。

https://myapp.com/action1/?username=bob&token=SERVICE_SESSION_TOKEN

トークンを検証し、action1 を実行する権限を持つユーザーの認証済みセッションを作成します。

action1 のフォームを返すと、iframe にレンダリングされます。

ユーザーがフォームを送信すると、iframe をリダイレクトすることでパートナーに通知できます。

https://partner.com/action1_callback/?username=bob&token=CLIENT_SESSION_TOKEN&result=RESULT

そのようなプロトコルをサポートする標準はありますか? oAuth と SAML により、ID のプロビジョニングが非常に複雑になります。

現在の ADFS セットアップについて非常に混乱しています。IDP 開始シナリオで SAML 2.0 トークンを ADFS 2.0 に発行する ID プロバイダーがあります。ADFS はトークンを WS-Federation に変換し、クレーム対応 (WIF) Web アプリケーションに転送します。ただし、Web アプリケーションは、ユーザーが認証されたことを認識せず、ホーム レルムの検出にリダイレクトします。私は Firefox で SAML Tracer を使用しており、SAML アサーションが入っていること、およびパラメーター内の WS-Federation クレームが Web アプリケーションに送信されていることを確認できます。欠けているステップはありますか？SAML アサーションを WS-Federation クレーム (例: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name )に変換するカスタム クレーム ルールを設定します。SP アプリケーションを SAML に切り替えた場合2 Web アプリの場合、すべて正常に動作します。

ID とアクセス制御を使用しており、Ws-federation プロトコルを使用してブラウザー ベースの SSO (シングル サインオン) を有効にしたいと考えています。このプロトコルがセキュリティ上の理由で推奨されていないかどうかを知りたいですか?

WIF Web アプリケーション、カスタム STS、および ADFS 2.0 インスタンスをその間にセットアップしました。アプリケーションのサインアウト プロセスを理解するのに苦労しています。現在、ユーザーがサインアウト ボタンをクリックすると、次のコードが呼び出されます。

このコードを使用すると、正常に動作します。すべての Cookie とセッションが正しく破棄されます。唯一の問題は、プロセスが終了した後、ブラウザーに小さな緑色のチェックが表示されることです。明らかに、STS のログイン ページにリダイレクトされることを望んでいます。これを達成するために、次のコードを試みました。

私の考えでは、wreply によってユーザーが認証されていない証明書利用者アプリにリダイレクトされ、STS ログイン ページにリダイレクトされると考えていました。代わりに、これによりADFSでエラーが発生します（エラーページが役立つため、表示できません）。wreplyに使用するURLに関係なく、エラーがスローされます。wsignoutcleanup1.0 を正しく使用していますか? 参考までに、サインイン/サインアウト要求を処理する STS のコードを次に示します。

これが私の問題です。WIF RP、カスタム STS、および ADFS をセットアップしました。ADFS には、適切なクレーム プロバイダーの信頼と依存部分の信頼があります。RP からのサインアウトをトリガーするときは、次のコードを使用します。

これはうまくいきます。STS によってログアウトされた後、証明書利用者アプリにリダイレクトされようとします。証明書利用者アプリは、私が認証されていないと言い、STS のログイン ページに戻ってしまいます。ここまでは順調ですね。問題は、私が別のユーザーでログインしようとすると、依拠部分のアプリが私を以前のユーザーだと認識していることです。それで、私は何が欠けていますか？証明書利用者アプリに以前のユーザーを忘れさせるにはどうすればよいですか? wsignoutcleanup1.0 を試してみましたが、うまくいきませんでした。