0

根据主题,我将Owin.Security.WsFederation依赖包更新到 4.0 版,但出现错误。

除了更改之外,我没有进行任何代码更改

using Microsoft.IdentityModel.Protocols; 


using Microsoft.IdentityModel.Protocols.WsFederation;

WsFederationConfiguration现在上课似乎在哪里。

这是我的StartupAuth

public void ConfigureAuth(IAppBuilder app)
        {
            app.UseCookieAuthentication(
                new CookieAuthenticationOptions
                {
                    AuthenticationType = CookieAuthenticationDefaults.AuthenticationType
                });

            // Create WsFed configuration from web.config wsfed: values
            var wsconfig = new WsFederationConfiguration()
            {
                Issuer = ConfigurationManager.AppSettings["wsfed:Issuer"],
                TokenEndpoint = ConfigurationManager.AppSettings["wsfed:TokenEndPoint"],                
            };

            /* 
             * Add x509 certificates to configuration
             * 
             */
            // certificate.1 must always exist
            byte[] x509Certificate;
            x509Certificate = Convert.FromBase64String(ConfigurationManager.AppSettings["wsfed:certificate.1"]);
            wsconfig.SigningKeys.Add(new X509SecurityKey(new X509Certificate2(x509Certificate)));
            // certificate 2 may exist
            if (ConfigurationManager.AppSettings["wsfed:certificate.2"] != null)
            {
                x509Certificate = Convert.FromBase64String(ConfigurationManager.AppSettings["wsfed:certificate.2"]);
                wsconfig.SigningKeys.Add(new X509SecurityKey(new X509Certificate2(x509Certificate)));
            }
            // certificate 3 may exist
            if (ConfigurationManager.AppSettings["wsfed:certificate.3"] != null)
            {
                x509Certificate = Convert.FromBase64String(ConfigurationManager.AppSettings["wsfed:certificate.3"]);
                wsconfig.SigningKeys.Add(new X509SecurityKey(new X509Certificate2(x509Certificate)));
            }

            // Apply configuration to wsfed Auth Options
            var wsoptions = new WsFederationAuthenticationOptions
            {
                SignInAsAuthenticationType = CookieAuthenticationDefaults.AuthenticationType,
                Configuration = wsconfig,
                Wreply = ConfigurationManager.AppSettings["wsfed:Wreply"],
                Wtrealm = ConfigurationManager.AppSettings["wsfed:Wtrealm"],
            };
            wsoptions.TokenValidationParameters.NameClaimType = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn";

            // Add WdFederation middleware to Owin pipeline
            app.UseWsFederationAuthentication(wsoptions);
        }

4.0 还需要验证签名吗?我假设它正在谈论来自发行人的令牌签名。我没有看到如何启用 ShowPII 以查看它正在查看的密钥。

我正在使用带有完整框架的 MVC5。不是核心。

更新

我尝试修改代码以使用属性文件中身份提供者提供的元数据来创建WsFederationConfiguration,但我仍然得到相同的错误。我不确定签名是什么,或者如果它不在 idp 元数据中,我从哪里得到它。

更新2

以下是我在属性文件中使用 sts 提供的 wsfed 元数据所做的更改。(我已经删除了实际的 base64 编码元数据,但不用说它与您从将元数据发布为端点的 STS 中获取元数据时获得的 XML 相同。正如我上面所说,我得到了同样的错误:

    public void ConfigureAuth(IAppBuilder app)
    {
        WsFederationConfiguration wsconfig;

        app.UseCookieAuthentication(
            new CookieAuthenticationOptions
            {
                AuthenticationType = CookieAuthenticationDefaults.AuthenticationType
            });

        var metaDataDocument = System.Text.Encoding.UTF8.GetString(
                Convert.FromBase64String("...c2NyaXB0b3I+"));

        using (var metaDataReader = XmlReader.Create(new StringReader(metaDataDocument), SafeSettings))
        {
            wsconfig = (new WsFederationMetadataSerializer()).ReadMetadata(metaDataReader);
        }

        // Apply configuration to wsfed Auth Options
        var wsoptions = new WsFederationAuthenticationOptions
        {
            SignInAsAuthenticationType = CookieAuthenticationDefaults.AuthenticationType,
            Configuration = wsconfig,
            Wreply = ConfigurationManager.AppSettings["wsfed:Wreply"],
            Wtrealm = ConfigurationManager.AppSettings["wsfed:Wtrealm"],
        };
        wsoptions.TokenValidationParameters.NameClaimType = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn";

        // Add WdFederation middleware to Owin pipeline
        app.UseWsFederationAuthentication(wsoptions);
    }
4

2 回答 2

2

我与 MS 团队中的一些人一起工作。这里的问题是我们的 STS 使用 SHA1 对令牌进行签名,而新版本的 weFederation 不支持 SHA1,因为它不安全并且已被弃用。

于 2018-03-23T21:42:12.967 回答
1

将 WIF 与 owin 一起使用的最简单方法是使用联合元数据(位于FederationMetadata/2007-06/FederationMetadata.xml中)。然后,您根本不需要设置使用 OWIN WsFederation 中间件配置基于声明的 Web 应用程序中解释的任何内容。前提当然是你的 STS 发布了一个有意义的FederationMetaData文档。一个很好的优势是您的应用程序会自动获取验证所需的公钥(并且可以无缝地更新它们)。

恕我直言,这比您采用的方法要容易得多。

您可以遵循OWIN WS-Federation Identity 提供程序的手动配置,因为它描述了一种比您更简单的方法。

于 2018-03-22T08:28:14.367 回答