问题标签 [acs]

Azure 的 ACS 服务非常好用，我喜欢它的所有魔力，但我希望我的 Web 应用程序 (MVC) 少一点魔力。如果您查看 CodePlex 上的代码示例，很容易调用该服务并从如下端点获取登录提供程序的 JSON 列表：

https://.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=http%3a%2f%2flocalhost%3a7070%2f&version=1.0&callback=?

从生成的 JSON 中，您可以呈现一些指向提供程序的链接，一旦您处理了这些登录，他们将通过 ACS 将您退回，并且 ACS 将使用生成的令牌发布到您在 Azure 中设置的任何端点门户网站。

我的问题是，我该如何处理该令牌？我不想使用创建集合 IPrincipal 的 WIF“魔法”，而不是什么。我只是不想弄乱我在应用程序中已有的内容。

我可以在我的私人服务器上安装 appfabric 并获得 ACS 在云中提供的相同服务吗？具体来说，我希望能够在我的 asp.net mvc 应用程序中接受 Live Id、Goggle 和 Facebook 登录，但我不想使用 Azure 或为其他基于云的产品付费。

我想将 Azure ACS 添加到我的一个站点，但遇到了所有魔法问题。我有一个 MVC 应用程序，它使用全局过滤器为请求的生命周期设置自定义 IPrincipal。WIF 的“添加 STS 参考”方法的问题在于它通过 HttpModule 将其短路。

我知道的很多：ACS 将我的 Web 应用程序反弹回我为其配置的 URL，并且该反弹是带有规范化 SAML 令牌的 POST。我对 WIF 设置 cookie 或任何废话不感兴趣……我只想从 POST 中获取我感兴趣的声明，并从那里自己处理设置身份验证的东西。工作流程是什么？该文档很糟糕，并且专注于神奇的“右键单击”解决方案。

我正在尝试让 OpenID 身份验证在我的 Azure ASP.NET MVC 3 应用程序中工作，并已按照MVC 3 自定义登录示例中的步骤进行操作。在开发环境中一切正常，但在部署到 Azure 平台时却不行。

第一个问题始于身份验证，导致错误“Key not valid for use in specified state”。这里的讨论表明应用程序需要配置为使用 RsaEncryptionCookieTransform 而不是默认的 DPAPI。为了尝试解决这个问题，我添加了Alik Levin 博客上OnServiceConfigurationCreated描述的代码，但没有进一步说明，因为它描述了在开发中设置自签名证书（如上所述，这不是必需的），而不是在 Azure 中。

我尝试使用 Azure 中已有的 X.509 证书，而不是这种方法。我在 Windows Azure 管理 > 访问控制服务 > 依赖方应用程序 >（我的应用程序名称）> 令牌签名证书 > 用于服务命名空间（X.509 证书）下找到了指纹。然后我将此引用添加到 web.config：

现在我在应用程序启动时收到配置错误：

我真的需要更改加密方法来解决“密钥在指定状态下无效”错误吗？如果是这样，我如何使用 Azure 中已有的 X.509 证书来加密 cookie？

我正在尝试将自定义 STS 实现为要部署到 Azure 的 WebRole。我遇到的问题是如何为我的自定义 STS 生成或编写 Federation Metadata.xml 文件。如果我自己写，我可以获得自定义参考 ID，我如何签名？另外，因为我的 STS 是一个 Azure 应用程序，所以当我在 Azure 模拟器中运行它时，它有一个类似http://127.0.0.1:81/的 URL ，所以我会使用它作为 Federation Metadata.xml 文件中的链接，但之后当我将 STS 作为生产部署发布到 Azure 时，它​​会有一个类似http://cloudSts.cloudapp.net的 URL所以我必须在我的联邦 Metadata.xml 文件中反映这些更改，这里的问题是，在进行这些更改之后，我应该再次升级/发布包，然后将其移至生产环境，否则我可以简单地上传更改后的联邦元数据。 xml 文件到 ACS 上（我将自定义 STS 作为 IP），它会工作吗？

谢谢

我了解当前 ACS 2.0 中的默认 Windows Live ID 身份提供程序仅提供两个声明，即 nameidentifier（与用户和您的应用程序关联的 base64 唯一 id，但对描述某人无用）和 identityprovider 声明，它让您知道您的与 LiveID 交谈。我想知道是否可以为 Window Live ID 配置替代身份提供程序，该身份提供程序可以通过附加声明提供名称和其他 Live ID 配置文件信息。

谢谢，-帕特里克

我正在构建一个托管在 Windows azure 中的多租户 mvc 应用程序。

我想利用访问控制服务让用户通过 google、facebook、live id 等获得身份验证......

我设法使用在依赖方应用程序设置中配置的回发 URL 进行简单的身份验证。

但在我的场景中，它更像是：client1.mydomain.com/login 或 client1.com/login 将转到提供商页面选择让我们说谷歌然后他将登录然后他将被重定向到 client1.mydomain。 com/Admin 或 client1.com/Admin

我怎样才能为任何客户实现这一目标？我应该为每个客户端添加一个依赖方应用程序吗？可以通过代码完成吗？脸书可以吗？

我还希望管理面板在 Silverlight 中，一旦客户端通过身份验证，他会在 silverlight 应用程序中保持身份验证吗？

预先感谢您提供任何帮助或可以提供帮助的链接。

弗雷德

我想依靠 Windows Identity Foundation 来进行我的网站和 Web 服务身份验证。ACS 是否可用于 Windows Server？我必须依赖 Azure 还是可以在我的托管环境中运行它？

我有一个 Windows Azure 应用程序，它使用 Windows Identity Foundation (WIF) 和访问控制服务 (ACS) 作为其身份提供程序。

反过来，ACS 被配置为使用 ADFS 作为其身份提供程序。

我在 ADFS 中创建了一个新的自定义声明，但无法将其传播到应用程序。如果不为身份提供者重新加载 FederationMetadata（这将删除所有现有规则，所以警告告诉我），有人知道我需要做什么吗？

我已向 ACS 添加了一条新规则以通过自定义声明。

我已将新声明添加到 web.config 中的部分，让 WIF 知道我对新声明感兴趣。

但到目前为止，没有迹象表明我的新主张。诊断问题似乎几乎是不可能的。

任何想法将不胜感激！

在设置 ACS/Facebook 集成时出现以下错误：

HTTP 错误代码：502 消息：ACS40000：处理 Facebook 登录响应时出错。这可能是由于 Facebook 应用程序的配置无效造成的。内部消息：ACS40001：尝试从 Facebook 获取访问令牌时出错。内部消息：ACS90005：Web 异常跟踪 ID：
988ec1a7-e02b-4dcf-abab-51812745a121 时间戳：2011-07-12 19:59:51Z

我已经验证了 App ID、App Secret、Site URL 和 Site Domain 都已设置。

对于站点 URL，我们使用https://project.accesscontrol.windows.net

对于站点域，我们使用project.accesscontrol.windows.net

我使用以下作为指导：

http://blogs.objectsharp.com/cs/blogs/steve/archive/2011/04/21/windows-azure-access-control-services-federation-with-facebook.aspx?CommentPosted=true#commentmessage

http://www.leastprivilege.com/AccessControlServiceV2AndFacebookIntegration.aspx

任何想法，将不胜感激。