問題タブ [ws-trust]

SAML-P（SAML 2.0アサーション）を使用するIdpとWS-Fed / WS-Trust（SAML 1.1アサーション）を使用する応答側をフェデレーションするためのADFS以外の可能なオプションを知っている人はいますか？

カスタム WCF サービス クライアントを実装しようとしています。サーバーは、クライアント資格情報なしで wHttpBinding とメッセージ セキュリティを使用します。TLS ハンドシェイクを開始するには、適切な SOAP エンベロープをプログラムで作成する必要があります。標準の WCF クライアントからの最初の要求をキャプチャしました。メッセージは次のようになります。

問題は、どの値をエンコードして BinaryExchange タグに挿入する必要があるかがわからないことです。どんな助けでも大歓迎です。

アクティブ認証を使用して STS から SAML トークンを取得する Silverlight アプリケーションを開発しています。開発中に、Visual Studio の新しいローカル STS を使用しようとしていますが、そのためにClientAccessPolicy.xmlは、Silverlight アプリが通信できるように、ローカル STS Web アプリケーションのルート ディレクトリに を配置する必要があります。私のファイルシステムのどこにこのファイルを置くべきか誰か知っていますか?

ACS インスタンスにフェールオーバーを提供する方法を探しています。そのため、1 つのデータ センターがオフラインになると、ACS を介した認証が自動的に別のデータ センターにフェールオーバーします。

バックグラウンド：

ACS を使用して、WS-Trust プロトコルを介してカスタム開発された STS によって提供される SAML トークンを変換します。ACS は、当社の STS と、サード パーティによって開発された多くの依存者との間の信頼を仲介するために使用されます。証明書利用者は現在、DNS URL を使用して特定の ACS インスタンスに接続するように設定されています。

私たちは次のことを調べました。

1. DNS CName エントリを使用して ACS url をマスクする - 新しい DNS がインスタンスの SSL 証明書と一致せず、SSL 証明書を制御できないため、機能しません。
2. ACS の前でプロキシを使用して要求をルーティングする - メッセージの To アドレスとレルムが acs 名前空間と一致しないため、機能しません。
3. 1 と 2 の両方が原因で、Traffic Manager は機能しません。また、現時点では、.cloudapp.net で終わらないアドレスに直接負荷をかけることができないためです。

クレーム ベースのセキュリティを始めたばかりで、ID 委任に関する質問があります。ローカルのダミー STS と、認証に依存するいくつかの WCF サービスをセットアップすることができました。Web アプリケーションは STS を介してユーザーを認証し、ユーザーに代わって( を使用してChannelFactory.CreateChannelActingAs) サービス A を呼び出します。これはうまくいきます。

ここで、フェデレーション プロバイダーとして Azure Access Control Service (ACS) を使用し、代わりに Google アカウント (またはその他のもの) を使用してサインインし、ダミーの STS を完全に取り除きたいと考えています。Web アプリケーションへの認証はできますが、Web サービスを呼び出そうとすると「不正な要求」という応答を受け取ります。

多くのことが問題になる可能性があることは理解していますが、ACS がこの WS-Trust の ActAs の概念をサポートしているかどうかを実際に確認していないことにも気付きました。ActAs がサポートされていないことを示すフォーラム スレッドを見つけましたが、約 6 か月前のものです。

ActAs が ACS でサポートされているかどうかを確認できる人はいますか? そうでない場合、サポートされているID 委任を実装する他の賢い方法はありますか?

リモート Java プログラムから呼び出される Web サービスがあります。PicketLink を使用して、WS-Trust で Web サービスを保護したいと考えています。PicketLink は機能しており、WSTrustClient クラスを使用して picketlink-sts からトークン (アサーション) を取得できます。

しかし、JBoss 7 では、クライアント側の WS ランタイム クラスにこのトークンを提供する方法がないようです。JBoss サイトのサンプルはこれを使用します。

しかし、JBoss 7 または PicketLink jar のいずれにも org.picketlink.trust パッケージがないため、org.picketlink.trust.jbossws.SAML2Constants は存在しません。

トークン ベースの WS-Trust Web サービスを機能させるために文字通り太陽の下であらゆることを試みましたが、役に立ちませんでした。STS からトークンを取得することはできますが、トークンを使用して WS サーバーを安全にし、外部からアクセスできるようにする方法がわかりません。

だから私が知りたいのは、誰かがこれをJBoss 7で動作させたことがあるかどうかということです。「jbossのこれとあれがあなたにいくつかの情報を与えるはずだ」には興味がありません。そこに行ったことがあります-機能しません。あなたはそれを機能させることができましたか？

WIF で実装されたカスタム STS があります。私の WS-Trust サービスは次の構成を使用しています。

これで、WCF サービスを呼び出す必要がある 1 つの Web アプリケーションができました。Web アプリケーションと WCF サービスはどちらも、カスタム STS の依拠当事者です。私の Web アプリケーションの web.config には、次のものがあります。

問題は、クライアント エンドポイントを使用して My WCF サービスを呼び出そうとすると、WCF が最初に STS WS-Trust エンドポイントに接続してトークンを取得することです。

しかし、WS-Trust サービスは、クライアントが自身を認証するために証明書を提示することを期待しています。これらの資格情報を web.config で指定するにはどうすればよいですか?

私はコードで次のようなことをすると思います：

何か案は？

ありがとう。

ADFSに接続する必要のあるアプリケーションを作成しています。MonoDroidで可能かしら。調査したところ、Windows Phoneのコードが見つかりましたが、MonoDroidにはそのようなクラスはありません。コードは

SAML を使用して Web サービスを保護するためのワークフローは何ですか。JBoss で使用できる ws-trust の特定の実装はありますか。

現在、picketlink SAML ハンドラーを使用して JBoss AS7 に pojo-ws (SP) をデプロイし、SAML2STSLoginModule を使用してセキュリティ ドメインを構成しています。

また、STS に接続する pojo-ws-client (picketlink-sts) がトークン (SAML アサーション) を取得し、SAML アサーションを SOAP ヘッダーにプログラムで挿入して pojo-ws を呼び出します。

この場合、クライアントは STS に接続することを認識していますが、ws-client が STS に接続する必要があるという事実がなければ、SP (pojo-ws) を呼び出しながら STS (picketlink-sts) への接続を開始する方法があります。