問題タブ [ws-trust]

3 つの異なるサーバー プロファイル (IBM WebSphere サーバー) で 3 つの異なるアプリケーションを実行する Java でプロジェクトを開発しようとしています。お申し込み詳細・・・

1. Service app1 & Service App2 ....このアプリのリソースにアクセスするためのリクエストを送信すると、最初にユーザーが認証ユーザーであるかどうかを確認します。

2. IdV アプリ...これは、ユーザーの詳細を要求することでユーザーを承認し、承認が成功した場合はユーザーに saml トークンを割り当て、ユーザーを承認する要求を取得したアプリにリダイレクトします。

注：私はインターネット上で多くのことを検索し、IBMの人たちから提供されたWebサービスガイドも調べましたが、このシナリオを実装する方法を導く具体的な解決策は見つかりませんでした.

みんな具体的な解決策を提案してください。

否定的なコメントをする場合は、適切なコメントを書いてください。

当社の webapi エンドポイントは、ブラウザー ベースのクライアント (angular) と非ブラウザー ベースのクライアント (restsharp) の両方に使用され、webapi は現在、プロトコルとしてパッシブ WS-Federation と STS として ADFS を使用して保護されています。パッシブ WS-Federation はブラウザ以外のクライアントには最適ではないため、現在、restsharp クライアントにはかなり複雑な回避策を使用しています。そのため、ADFS を置き換えることなく、これらのタイプのクライアントの webapi エンドポイントを保護するためのより良い方法を見つけたいと考えています。または追加のインフラストラクチャを追加します。

私の理解では、OAuth2 "Resource Owner Password Credentials Grant" (grant_type=password) はこのシナリオを適切にサポートしますが、残念ながら現在 ADFS ではサポートされていません。

ですから、私の質問はこれです。ADFS がサポートする 1 つの OAuth2 フロー、つまり「Authorization Code Grant Flow」(grant_type=authorization_code) を使用して、非ブラウザー ベースのクライアントをサポートする良い方法はありますか?

これが不可能な場合、WCF を使用せずに、WS-Trust とベアラー トークンを使用して WebApi エンドポイントを保護できますか?

ASP.net MVC と WebAPI を中心に構築された SaaS アプリケーションに取り組んでおり、企業が私のサービスを簡単に使用できるようにしたいと考えています。例としては、Office 365 基本認証 (アクティブ プロファイル) が挙げられます。ユーザーは、Microsoft のサイト (またはデスクトップ アプリ) でユーザー名/パスワードを入力し、雇用主の Active Directory に対して認証されます。これまでのところ、資格情報を受け入れる RP-STS を作成し、それらをクライアント企業の AD サーバーで実行されている AD FS プロキシに転送する必要があると理解しています。これは正しいです？

はいの場合、どうすればこれを実装できますか? Relying Party と AD FS Proxy Role を追加して AD サーバーをセットアップするのは簡単なので、実際には問題になりません。RP-STS サービスを作成/セットアップする方法と、このプロセスに関連するその他の手順を理解する必要があります。.net には、これの例/チュートリアルはありません

それは私の頭をやっています....私はここで何が欠けていますか...タイムスタンプのあるものでなければなりません.

私は次のエンベロープを持っています (これはプロバイダーが使用するために私に与えた方法です) しかし、それは私に与え続けます

これは私のコードです:

消費可能な ADFS エンドポイントを公開するために WS-Federation/WS-Trust がサービスの一部として展開されている場合、Kerberos への依存関係はありますか?

たとえば、Web アプリケーション プロキシ (WAP) サーバーが ADFS ロールアウトの一部として実装されていて、WAP サーバーがドメインに参加していなかった場合、これによって公開された WS-Federation/WS-Trust エンドポイントを使用する機能が制限されますか? ADFS?