2

如何配置Kentor.AuthServices以使用 WIF 的颁发者注册表?具体来说,要根据指纹进行检查,如下例所示:

<system.identityModel>
    <identityConfiguration>
      <securityTokenHandlers>
        <securityTokenHandlerConfiguration>
          <issuerNameRegistry type="System.IdentityModel.Tokens.ConfigurationBasedIssuerNameRegistry, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089">
            <trustedIssuers>
              <add thumbprint="1111111111111" name="http://some.domain/adfs/services/trust" />
            </trustedIssuers>
          </issuerNameRegistry>
          <certificateValidation certificateValidationMode="None"/>
        </securityTokenHandlerConfiguration>
      </securityTokenHandlers>
    </identityConfiguration>
  </system.identityModel>

我尝试了这个(<identityProviders>在发布之前删除了除元素之外的所有内容):

  <kentor.authServices>
    <identityProviders>
      <add entityId="http://some.domain/adfs/services/trust" destinationUrl="https://some.domain/adfs/ls" allowUnsolicitedAuthnResponse="true" binding="HttpPost">
        <signingCertificate findValue="1111111111111" x509FindType="FindByThumbprint" />
      </add>
    </identityProviders>
  </kentor.authServices>

但这给了我“缺少 Idp http://some.domain/adfs/services/trust上的签名证书配置”

有没有办法在 Kentor 中做同样的事情,或者(更好)有没有办法将这个现有的 WIF 配置提供给 Kentor?

4

1 回答 1

2

不,目前(版本 0.12.0),没有办法设置自己的IssuerNameRegistry. 然而,这是我正在研究的东西,作为#145的一部分。

然而,更改并非微不足道,因为它不仅仅是将配置IssuerNameRegistry提供给 WIF,因为这只涵盖了对断言本身进行签名的情况。如果签名在消息级别,则验证由 AuthServices 自己完成,因此代码也必须更改为使用IssuerNameRegistry.

于 2015-03-07T21:00:12.687 回答