インフラストラクチャのレイアウト

青線はログイン要求を開始します。

赤い線は、ログイン成功後の応答です。idp(janie-pc/ofsidentityservice) から fp(janie-pc/federationservice) への 404 にヒットしました。

構成

このフローを機能させるにはどうすればよいですか?

最新リリース (v2.3) を使用しています: https://github.com/thinktecture/Thinktecture.IdentityServer.v2/releases

リダイレクト URL を指定する必要があるように見えますが、thinktecture で必要な URL は何ですか?

WIF/WCF アクティブ STS に対して直接認証するアプリケーションがあります。このアプリケーションはパッシブ STS でもあり、Web サイトの証明書利用者の WS-Federation エンドポイントとして機能します。

ユーザーが Web サイト RP にログインすると、認証 (ユーザー名とパスワード) のためにパッシブ STS にリダイレクトされ、2 段階のプロセスで、パッシブ STS (アクティブ RP として機能) が Issue RST を STS に送信します。署名された SAML トークンを受け取ります。2 番目のステップでは、パッシブ STS が 2 番目の Issue RST を STS に送信し、前のステップで受け取ったトークンで認証します。

問題は、2 番目のステップで、WCF クライアント<Signature>が SAML アサーションから要素を削除してから、SOAP ヘッダーで STS に送り返すことです。に渡されたトークンをテストシリアル化することにより、生成されたチャネルでChannelFactory<TChannel>.CreateChannelWithIssuedToken呼び出したときに、トークンにまだ署名が存在することを確認しました。IWSTrustContract.Issue

これは、STS に提供する必要があるアサーション XML です。

これは、Service Trace Viewer ごとに、STS が受け取るものです。

もちろん、STS はアサーションの署名が削除されているため検証できず、クライアントを認証して Web サイト RP のベアラー トークンを発行することもできません。

WCF フェデレーション クライアントがアサーションから署名を削除するのはなぜですか? また、それを行わないようにするにはどうすればよいですか?

認証に WSFederationAuthenticationModule を使用しています。ユーザーが認証されていない場合、それに応じて ADFS Web エージェントにリダイレクトされます。ADFS Cookie はアプリ セッションよりも長く存続するため、アプリケーションに直接ループバックされることがあります。

これが私が望むものであるほとんどの場合、ユーザーが何かをしようとすると、セッションが期限切れになった場合にリダイレクトされ、ユーザーが戻ってきます (再度ログインした後、または Cookie がまだ有効であることがわかった後)。彼らが望むことをすることができます。ただし、「ログアウト」をクリックしている場合は、ログアウトしてもらいたいです。しかし、モジュールはそれらを傍受して送り返しているため、セッションが復元されたら、もう一度「ログアウト」をクリックする必要があります。

ログアウトは MVC API コントローラ アクションです。アプリのクリーンアップもトリガーされるため、セキュリティの背後から取り出したいかどうかはわかりません（ログアウトをクリックしないと、これらのことが起こらない可能性があるため、これも問題であることに気づきましたが、は別の問題です）。

WSFederationAuthenticationModule と ADFS で何かが欠けているように感じます... ログアウト アクションを匿名/パブリック アクションにすることについて、何かが正しくないと感じています。WSFederationAuthenticationModule の意図では、これについていくつかの考慮事項が必要ですが、私はそれを突き止めることができないようです。

wsFederationWindows AzureでWAADサインインを行うためにOwinパッケージを使用しています。

id=501358私の問題は、合格したいということですがhttps://login.microsoftonline.com/login.srf、それが可能かどうかわかりません。ユーザーをリダイレクトしていますがhttps://login.windows.net/common/wsfed、再びリダイレクトされlogin.microsoftonline.comますが、クエリ文字列は渡されません。より明確にするために：

私はにリダイレクトしています：

に基づいてwsFederationMessage

次の場所にリダイレクトされます。

&site_id=501358に追加したいのですがlogin.microsoftonline.com/login.srf、私の理解wctxでは、サイトに戻ってきたときに状態を渡すことです。

認証に同じ STS を使用する 2 つの MVC サイトがあります。あるサイトの一部として、他のサイトがデータを取得できるようにする WCF サービスを作成する必要があります。

これらのサイトは、インターネット経由でアクセスできる別のマシン上にある可能性があり (現在は同じマシン上にあります)、WCF サービスはクライアント サイトからのみアクセスできる必要があります。クライアント サイトへのログインに使用する認証トークンは、WCF サービスに渡す必要があります。

私は利用可能なさまざまな WS-Security オプション (トランスポート、メッセージなど) を調べてきましたが、100% に完全に沈んでいるわけではありません。理解不足。どんな助けでも大歓迎です。

編集：

私の最初の試みは、トランスポート層のセキュリティと、IIS で SSL が必要な WCF サービス仮想ディレクトリの設定でした。しかし、それは私に次のエラーを残しました:

「検証手順によると、リモート証明書は無効です。」

また、特定のクライアントがサービスに接続していることを確認する方法はなく、クライアントが信頼できる CA からの証明書を持っていることだけを確認できました。少なくとも私の知る限りでは。私はおそらくここで重要な何かを見逃しています。

ログイン後に証明書利用者に値を返す方法はありますか? 例えばquerystring？

バックグラウンド：

私たちがやりたいことは、ユーザーが行ったアクション (サインインや登録など) を依存者に通知して、依存者が適切な確認メッセージをユーザーに表示できるようにすることです。証明書利用者はサインアップ ページにリンクしている可能性がありますが、ユーザーはサインアップする代わりにサインインするため、証明書利用者は「ご参加いただきありがとうございます」という通知パネルを表示すべきではありません。

に追加しようとし&lastaction=signupましたreturnUrlが、フォームが Azure ACS を介して投稿されると失われます。

lastaction次の試みは、次のようにに追加しようとすることでしたwreply:

Fiddler では、ACS への次の POST がhttps://xxxxx.accesscontrol.windows.net/v2/wsfederation?lastaction=helloに投稿されていることがわかります が、lastaction は証明書利用者に渡されません。