1

这个问题类似,除了我需要在身份验证时获得额外的声明,而不是稍后。

我正在将我的 RP 作为另一个网站的身份验证插件来实现,所以我不能(或者宁愿尽可能避免)做诸如更改web.config文件或添加FederationMetadata.xml到我的 RP 之类的事情。

我已经成功地对 STS 进行了身份验证,现在除了它发送给我的基本信息之外,我还需要获得更多声明。STS 是公开的(或附近),不受我的控制,并且会有许多不同的 RP 针对它进行身份验证,所以我不希望每个 RP 都会受到特殊待遇。因此,我假设 STS 在我执行身份验证之前对我的 RP 一无所知,并且在身份验证完成后它将忘记所有相关信息。

如前所述,我正在使用 WIF,并且我正在用代码做所有事情。我在哪里指定要发送哪些声明?到目前为止,这是我的代码:

// Init configuration
var config = new ServiceConfiguration();
config.AudienceRestriction.AllowedAudienceUris.Add(new Uri("https://MyAudienceURI/"));
config.CertificateValidator = System.IdentityModel.Selectors.X509CertificateValidator.None;
var issuers = new ConfigurationBasedIssuerNameRegistry();
issuers.AddTrustedIssuer("08F81147C44D95CDA617963AFF0650EF26578E4A", "http://STSIssuer/trust");
config.IssuerNameRegistry = issuers;

// Create the FAM
var fam = new WSFederationAuthenticationModule();
fam.ServiceConfiguration = config;
fam.PassiveRedirectEnabled = true;
fam.Issuer = "https://STSUrl/Default.aspx";
fam.Realm = "https://MyAudienceURI/";
fam.Reply = Request.Url.ToString();
fam.RequireHttps = false;

// Check the current request
var req = System.Web.HttpContext.Current.Request;
if (!fam.CanReadSignInResponse(req, true))
{
    fam.RedirectToIdentityProvider("Nop.Plugin.ExternalAuth.WIF", Request.Url.ToString(), false);
    Response.End();
}

var principal = ClaimsPrincipal.CreateFromIdentities(config.SecurityTokenHandlers.ValidateToken(fam.GetSecurityToken(fam.GetSignInResponseMessage(req))));
4

1 回答 1

2

通常,STS 被配置为提供声明。该配置基于每个 RP,因此不同的 RP 可以获得不同的声明。

您可以使用 WIF 来扩充它。

使用 ClaimsAuthenticationManager 并覆盖 Authenticate。

然后是这样的:

((IClaimsIdentity)incomingPrincipal.Identity).Claims.Add(new Claim(...))

如果声明是外部的,您必须自己获取它们,例如访问 AD?

于 2012-09-19T20:12:13.490 回答