問題タブ [ws-trust]

ID フェデレーション (google、facebook、live id) と WCF SOAP サービスを使用して Thintecture Identity Server を構成しました。

ここで、Windows Phone アプリケーション用の WCF Rest Endpoint (webHttpBinding) が必要です。認証ヘッダーで WSTrust SAML トークンを渡したくありません。SamlToken を JWT トークンに変換することは可能ですか?

以下は私が試したコードですが、うまくいきません。

手伝ってくれてありがとう。

Windows XP 以降で実行する必要がある WPF クライアント アプリケーションで、ユーザーの SAML トークンを取得しようとしています。WS-Trust を使用して ID プロバイダーから SAML を取得し、それを Azure Access Control Service に渡します。Azure Access Control Service は、O-Auth を使用してシンプルな Web トークンを返します。これを使用して、クライアントでユーザーを認証し、安全な API を呼び出します。 ACS を信頼する Azure で。

私のコードは WIF (Windows Identity Foundation) を使用しており、windows-xp 以上のオペレーティング システムで正常に動作します。これについて私が見た唯一の例は、WIF を使用してセキュリティ トークン サービスから SAML トークンを要求していますが、WIF は windows-xp ではサポートされていないため、行き詰まっています。私はいくつかの調査を試みましたが、WIF を使用せずに上記のシナリオを達成する方法を見つけることができませんでした。Windows XP クライアントでこれを行う方法はありますか? そうでない場合、私は何を別の方法で行う必要がありますか?

トークンを取得するために使用するコードは次のとおりです。

//UserCredential を使用して ACS レルムの STS から SamlToken を取得します。これは WIF を使用します

//STS から取得した xmlSamlToken を使用して、ACS serviceEndpoint から OAuthToken を取得します。

クライアントが X509 証明書を使用して認証できるようにする STS を実装しました。WIF (現在は .NET 4.5 に組み込まれています) には、X509SecurityTokenこのシナリオで完全に機能すると思われるクラスがあります。私の場合、ActAsトークンも渡したいのですが、ActAs トークンは (トークン ハンドラーの別のコレクションによって) 検証されますがX509SecurityToken、この検証は、呼び出し元が秘密鍵を所有していることを証明しません。 、トークンがメッセージ資格情報として使用される場合と同様です。

これを回避する方法はありますか？ActAs トークンが秘密鍵を持っていることを証明するにはどうすればよいですか?

ASP.Net Web API サービスのコンテキストで、SharePoint STS に接続して、sharepoint ユーザーのセキュリティ クレームを読み取ろうとしています。

ユーザーは、フォーム ベースの認証を使用して SharePoint 2013 に対して認証されます。

私は sharepoint サイトと同じドメインにいるので、sharepoint が使用する FedAuth Cookie にアクセスできます。

System.ServiceModel.Security.WSTrustChannelFactory を使用してセキュリティ トークンの要求を作成しようとしていますが、WSTrustChannelFactory コンストラクターのパラメーターとして何を使用すればよいかわかりません。

私が試みているアプローチが合理的なものであり、WSTrustChannelFactory をどのように使用すべきかについての検証を探しています。

ノート：

STS のアドレスは次の場所にあります。http://localhost:32843/SecurityTokenServiceApplication/securitytoken.svc

WSTrustChannelFactory のドキュメントには、プロキシの操作に関する参照があります。

例が見つからないようです。
一部のユーザーのコンピューターでは、外部要求用にプロキシが定義されています。
STS がプロキシの背後にある場合、トークンを要求するにはどうすればよいですか。

現在、私は次のように取得しています：

プロキシを使用するように変更するにはどうすればよいですか?

ありがとう。

WS-Federation に関するテキストを読みましたが、理解できません。いくつか質問があります：

1. WS-Federation がなかったらどうなるでしょうか?
2. シングル サインオンにどのように役立ちますか?
3. WS-Trust と WS-Federation の違いは何ですか?

現実世界での非常にシンプルでわかりやすいサンプルで答えが欲しいだけです! いろいろ読んだけどよくわからない

ありがとう

WIF/WCF アクティブ STS に対して直接認証するアプリケーションがあります。このアプリケーションはパッシブ STS でもあり、Web サイトの証明書利用者の WS-Federation エンドポイントとして機能します。

ユーザーが Web サイト RP にログインすると、認証 (ユーザー名とパスワード) のためにパッシブ STS にリダイレクトされ、2 段階のプロセスで、パッシブ STS (アクティブ RP として機能) が Issue RST を STS に送信します。署名された SAML トークンを受け取ります。2 番目のステップでは、パッシブ STS が 2 番目の Issue RST を STS に送信し、前のステップで受け取ったトークンで認証します。

問題は、2 番目のステップで、WCF クライアント<Signature>が SAML アサーションから要素を削除してから、SOAP ヘッダーで STS に送り返すことです。に渡されたトークンをテストシリアル化することにより、生成されたチャネルでChannelFactory<TChannel>.CreateChannelWithIssuedToken呼び出したときに、トークンにまだ署名が存在することを確認しました。IWSTrustContract.Issue

これは、STS に提供する必要があるアサーション XML です。

これは、Service Trace Viewer ごとに、STS が受け取るものです。

もちろん、STS はアサーションの署名が削除されているため検証できず、クライアントを認証して Web サイト RP のベアラー トークンを発行することもできません。

WCF フェデレーション クライアントがアサーションから署名を削除するのはなぜですか? また、それを行わないようにするにはどうすればよいですか?

基本的に、クライアントの資格情報を次から切り替えることができると思っていたでしょう。

に：

次に、wsTrustChannel を作成してセキュリティ トークンを取得します。

ユーザー名とパスワードは正常に機能します。証明書を使用するだけで、UserName が指定されていないと文句を言います。私は、トークン発行者が関連するユーザーを証明書から検索するという印象を受けました。ここでどこが間違っていますか？