問題タブ [ws-trust]

http://web-gmazza.rhcloud.com/blog/entry/cxf-sts-tutorialの例に従って CXF-STS アプリケーションを使用しています。SAML アサーションを生成できますが、サービス プロバイダーに到達すると失敗します。

私は Service に PasswordCallback を持っています。

WSPasswordCallback タイプは SECRETKEY か何かとして見つかりますが、not WSPasswordCallback.DECRYPT or WSPasswordCallback.SIGNATURE

上記のコードでデバッグしたときの識別子は、_0bfaf221-9588-4033-b3fa-db9ecbd478feまたはランダムなテキストとして表示されます。サービスプロバイダーでは、キータイプとの対称バインディングがあります-SymmetricKey

STS 側では、暗号化のためにサービス プロバイダーの公開鍵を次のように提供しています。

http://mail-archives.apache.org/mod_mbox/cxf-users/201112.mbox/%3CCAB8XdGABkphcJXTbtVpDfBZ3KcymtZYX-Rmv0H8QiuwYNHP5OQ@mail.gmail.com%3Eおよびhttp://coheigea.blogspot.in/2011/の提案に従ってください05/ws-trust-sample-in-talend-service.html

対称キーは暗号化されているため、サービス プロバイダーがどのように使用できるかわかりません。

関連するすべてのファイルを確認しましたが、すべてが無傷のようです。参照用にhttps://github.com/sampleref/CXFSecurityに私の例があります。クライアントの実行中にエラーが発生し、サービス プロバイダーのログが表示されます

証明書が見つかりません。いくつかの提案をお願いします

ありがとう

MS-CRM から Web サービスを呼び出す必要がある巨大で古い Java 5 アプリケーションがあります。これは ADFS で保護され、SOAP 呼び出しは WS-Trust を使用して実行できます。

Apache HTTP コンポーネント 4.3 (httpcore/httpclient) を使った最初の (無許可の) 試みはうまくいきましたが、WS-Trust ではなく、HTTP Basic//Digest と NTLM 認証しか提供しませんでした。

WS-Trust を使用してスタンドアロン Java 5 アプリケーション (サーブレット エンジンやアプリケーション サーバーなし) から SOAP クライアント呼び出しを実行できるライブラリはありますか?

主な要件:

• Java 1.5
• クライアントのみ必須
• WS-Trust 認証
• 呼び出しを行うアプリケーションが多少制限されるため、コード生成されていないクライアントが優先されます

STS サービスからセキュリティ トークンを要求しようとしています。このサービスはサードパーティであるため、変更したり、ログを確認したりすることはできません。

結果として得られるリクエスト SOAP メッセージは、私が持っているサンプル リクエストとほぼ同じに見えます。適切なリクエストにはトークンが 1 つしか含まれていないのに、2 つの要素が同じ値BinarySecurityTokenで追加されているだけです。

SOAP メッセージは次のようになります。

セキュリティ バインディング要素とバインディングは次のように構成されます。

WSTrustChannelFactoryまた、メッセージに署名するだけ (署名と暗号化ではなく)を具体的に構成しました。

唯一のことは、X509SecurityTokenParameters を使用している間、サービスのセキュリティ ポリシーでイニシエータ トークンが SAML トークンであるべきであると述べられていることです。これは主に、SAML トークンを追加する方法がわからないためですが、これによってどのような違いが生じるかわかりません。

参考までに、WS-Security ポリシーは次のとおりです。

最終的には、メッセージにバイナリ トークンを 1 つだけ含める方法を探しています。SOAP XML を送信する直前に手動で変更することが唯一の方法である場合は、それでかまいません。

これは、この質問 hereのフォローアップです。直接関係ないかも。

Secure Token Service から取得したトークン (フェデレーション セキュリティ、WS-Trust 1.3) で保護された Web サービスを呼び出そうとしています。SecurityToken(ジェネリック XML)があり、 を作成しChannelFactory<T>てから を呼び出しますCreateChannelWithIssuedToken。

サービス メソッドを呼び出そうとすると、実際のエラーが表示されます。メッセージは非常に短く、実際には次にどこを見るべきかわかりません:MessageSecurityExceptionおよびメッセージUnable to create token reference . まあ、それは何を意味することもできます。

関連するコード:

サービスの呼び出しは次のとおりです。

私が知りたいのは、次にどこを見ることができるかということです。このエラーの原因は何ですか?

追加の詳細：

1. サーバーへのリクエストが行われる前にエラーがスローされます（Fiddlerでチェックされます）。
2. サーバーは WCF ベースではありません。WS-Trust と WS-Security に準拠したサービスです。

状況は次のとおりです。

1. STS からのセキュリティ トークンを a の形式でGenericXmlSecurityToken持っています (そのための SAML アサーション要素もあります)。
2. このセキュリティ トークンを使用してサード パーティのサービスを呼び出す必要WS2007FederationHttpBindingがあります。
3. 実際の SOAP リクエストには、SOAP セキュリティ ヘッダーの SAML アサーション要素に加えてhttp://www.w3.org/2000/09/xmldsig#、timestamp 要素に署名する署名要素 ( namespace から) と、SAML アサーションを含む body 要素も含める必要があります。
4. WS2007FederationHttpBinding、および多くのカスタム バインディングのバリエーションでは、値の型を持つ署名にキー参照要素を含めることができませんhttp://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID(つまり、SAML アサーション)。
5. 私が (= true を介してProtectTokens) それらから得ることができたのは、署名された SAML アサーション要素ですが、それ以上ではありません。

基本的に、リクエストで取得する必要があるのは次のとおりです。

WS2007FederationHttpBindingただし、署名を追加するために (またはカスタム バインディング) を構成する方法については途方に暮れています。

私が今取り組んでいること：

これに加えて、同じ結果で を使用してみTransportSecurityBindingElementました: リクエストでトークンを取得できますが、署名は取得できません。

これに関するアイデア/ヒントは大歓迎です。

Identity And Access ツール (VS 2012 の一部) を使用して、企業の ADFS サーバーを使用するように WCF を構成できます。

関連する web.config

ただし、コンソール アプリケーション ( Add Service Reference ) からこの WCF サービスを参照すると、呼び出しは WCF サービスに直接行われ、標準の ASP.NET アプリケーションの場合のように ADFS にリダイレクトされて認証されることはありません。

adfs への呼び出しをコードで実装する必要はありますか? もしそうなら、それを行う方法の手がかりはありますか？

saml 2.0 プロトコルで adfs を使用して、アクティブなクライアント (非ブラウザー ベース) サービス プロバイダーと連携する方法はありますか? saml 2.0 プロトコルの WSTrust (WS-Federation プロトコル上) と同等のものはありますか? 可能であれば、例を挙げていただけますか？

以下は、WSTrustChannelFactory を使用してトークンを取得する例です。ここから。

現在、ユーザー名/パスワードはありませんが、プロバイダーから証明書の .pfx ファイルが提供されています。WSTrushChannelFactory に渡すにはどうすればよいですか? CertificateBinding を使用してみましたが、成功しませんでした。

上記のコードを更新: 2014 年 11 月 5 日:

このエラーの取得: ID3242: セキュリティ トークンを認証または承認できませんでした。