問題タブ [ws-federation]

VS2012 .Net Framework 4.5 を使用して、Identity and Access Plugin を使用して、ローカル STS で WCF サービス アプリケーションを作成しました。私の目標は、ブラウザを使用して認証できるようにすることです。私がこれまでにやったこと：

• WSFAM および SAM モジュールが追加されました。
• Fiddler を使用して、リダイレクトが適切に行われていることを確認しました
• FedAuth[] Cookie が作成されていることを確認しました。

Cookie が作成された直後 (SAM) に、再び STS にリダイレクトされます。ここでループに陥ります。

WCF と Web サービスは私にとってまったく新しいものです。詳しく説明しすぎたら申し訳ありません...

これが私のweb.configです：

フィドラー

レスポンス #10108 - FedAuth Cookie を設定し、リソースにリダイレクトします リクエスト #10109 - 指定された Cookie を使用して、リダイレクトされたリソースにリクエストします。 応答 #10109 - 結果 401、#10111 で再度 STS にリダイレクト

SSO システムの一部として、署名付き WS-Federation トークンのアサーション コンシューマーを実装しようとしています。simplesamlphp には (文書化されていない) ws-fed サポートがあることは知っていますが、Django スタックを使用しています。djangosaml2 pysaml2 は、'RequestSecurityTokenResponseCollection' ルート ノードではなく、'Response' ルート ノードを持つ XML を想定しているため、WS-Federation 仕様をサポートしていないようです。

誰もこれに遭遇したことがありますか？私を助けることができるpythonライブラリはありますか？私は自分のコンシューマを転がすだけの誘惑に駆られますが、X509 と xml の知識が不足しているため、失敗してセキュリティの脆弱性を作成する可能性があるのではないかと心配しています。

ありがとう！

さまざまな理由 (好奇心、およびそれらを Web サービスに送信するテストが主な理由) で、SAML トークンをプログラムで取得しようとしていますが、Windows Azure ACS からトークンを取得するのに苦労しています。

Thinktecture の IdentityServer を使用して ID プロバイダーをセットアップし、以下のコードを使用してそこから SAML トークンを取得できます。

ただし、ACS では、アプリケーションを RP としてセットアップし、2 つの ID プロバイダーを使用するように構成しました。そのうちの 1 つは Thinktecture IP です。

上記のコードを使用して Azure ACS からトークンを取得しようとすると、機能しなくなり、例外が返されます。これは、ACS の役割に対する私の理解が正しくないためだと思います。また、ACS は「フェデレーター」であるため、単純にトークンを要求することはできません。利用可能な ID プロバイダーを通知し、それらを見つけてトークンを取得するのに十分な情報を提供することになっていると思います。トークンを ACS に返す必要があります。

コードからこれを行うにはどうすればよいですか? これは WS-Trust ではなく WS-Federation ですか (用語はまだよくわかりません)。ID プロバイダーから SAML トークンを既に取得できると仮定すると、ACS にトークンを受け入れてフェデレーション トークンを提供するにはどうすればよいですか?

いくつかの Web アプリケーション認証プロトコル (WS-Federation や SAML プロトコル、いわゆる「パッシブ」プロトコル、および明らかに ASP.NET フォーム認証も同様です。この StackOverflow questionを参照してください。AppEngine は、この GWT バグ コメントを参照してください)元の「URL フラグメント」、つまり # 記号の後の部分。

おおよそ次のようになります: クリーンなブラウザー (キャッシュされた情報/クッキー/ログイン情報はありません) で、URL (1) http://example.com/myapp/somepage?some=parameter#somewhereを開きます。これにより、ブラウザー リクエスト (2) http://example.com/myapp/somepage?some=parameterが作成され、サーバーが ID プロバイダー (認証リクエストに URL (2) を含む) にリダイレクトし、最終的にリダイレクトされます。元の場所に戻ります。これは URL (2) です。サーバーが認識している唯一の URL です。しかし、私は URL (1) に行きたかったのですが、URL フラグメント (「アンカー」) は途中で失われてしまいました。実際には、最初のステップですでにです。

サーバーは URL フラグメントをまったく認識しないため、これはこれらのプロトコルの根本的な制限のようです。

(1) に移動すると、ブラウザーがサーバーから (2) を要求する仕様によると、SAML プロトコル、WS-Federation などでこのフラグメント損失制限が発生することがわかっています。この制限を回避できますか?

明らかな回避策は、この回答で提案されているように、URL フラグメントを避けることです。ただし、特定の Web アプリケーションの場合は、シングルページ GWT アプリケーションでブックマーク可能な URL フラグメントを使用して、アプリケーション内のナビゲーションによってページがリロードされないようにするため、適切ではありません。

私の質問: この状況には、他にどのような回避策または標準パターンがありますか?

(特に GWT + SAML プロトコル ソリューションに興味があります。)

IE と Chrome で動作するように見える特有の問題に頭を悩ませています。

RP を提供するカスタム パッシブ STS があります。カスタム認証サービスを介して認証し、STS が一時フォルダーに表示されるトークンを返すまで、すべて問題ありません。次に、SAML 1.0 トークンを送信する POST 操作がハングし、通常は RP をリダイレクトする FedAuth Cookie を取得する代わりに、サイレント モードで終了します。

注 : RP と IP は、リバース プロキシ サーバー (Nginx) の背後にある Web サーバーでホストされます。リバース プロキシは SSL 経由でホストされ、プロキシ サーバーと Web サーバー間のすべてのトラフィックは非 SSL です。

以下はウェブサーバーに記録されます

FFだけでこの問題が発生する理由がわかりません。FFのヘッダーで送信されるコンテンツのサイズに制限はありますか?

別の質問: トークンに署名するために、プロキシ サーバー (SSL) と Web サーバー (STS) に 1 つずつ、2 つの異なる証明書をインストールしました。同じ証明書を使用できますか? するべきか？

WS-Federation に関するテキストを読みましたが、理解できません。いくつか質問があります：

1. WS-Federation がなかったらどうなるでしょうか?
2. シングル サインオンにどのように役立ちますか?
3. WS-Trust と WS-Federation の違いは何ですか?

現実世界での非常にシンプルでわかりやすいサンプルで答えが欲しいだけです! いろいろ読んだけどよくわからない

ありがとう

ADFS を STS として使用して外部 SAML Idp にアクセスしていますが、特定のユース ケースでは認証を強制する必要があります。これは、で提案されているように、変更された IdpInitiatedSignOnPage を介してのみ可能であるようです

AD FS 2.0 サインイン ページのカスタマイズの概要 ( http://msdn.microsoft.com/en-us/library/ee895361.aspx )

私の質問は、wsfederation を使用するときにこれを機能させるにはどうすればよいですか? wfresh="0" を指定してもまったく効果がないように見えますか? 私は何が欠けていますか？このユースケースはサポートされていますか?