问题标签 [azure-acs]

我有一个配置为使用 Azure ACS 的网站。当用户登录本网站时，当他访问我的另一个网站时，我将如何获取用户身份，以便用户无需在 ACS 中选择和登录其身份提供者？有没有办法跨多个网站从 ACS 获取用户身份，这样一旦用户登录到我的一个网站，当他访问其他 ACS 配置的网站时，他将被识别为登录用户？顺便说一句，我使用 azure ACS 中的所有 4 个社交网站作为身份提供者。

我有一个应用程序可以理解Live ID返回的 OAuth 2.0 令牌（在传递有效的 OAuth 2.0 令牌时，它会对用户进行身份验证） 。

这个 OAuth 令牌看起来像 -

"78wcH%2by1t6avE8zhVCzXQndK2zWJbCWvoZbSKfAduQuyQETUG2FtN5FOw%2bKaj5uCwUfuOS/2J35NvhDkZaaqoOzOVuoTYUDZgAACNzcJuSyBR21CAE9LpBrltj0PljQ76Hd9aJXW8x8DtRsKZvOn76PN69oGDzrGIjXXPIyCGDii9TYmP92kmh50B05qTqhdLiAXcluriQWuEMKONPUVazSmFN2BXZVW3NDdk3vkos8m68SXf%2"

现在我有了另一个基于 Azure ACS 机制的应用程序。我可以从那里获得 SAML 或 SWT 令牌。

可以在此处找到示例 SWT 令牌

有什么方法可以将 SAML/SWT 令牌转换为以前的 OAuth 2.0 令牌？

注意：我尝试通过 OAuth v2-13 协议获取 SWT 令牌，但接受 OAuth 令牌的服务未验证此令牌。

我在 Visual Studio 2010 中创建了一个示例“Windows Azure 云服务”项目，并使用 WIF for .NET 4.0 将 AZURE ACS 配置为该应用程序的 STS。然后将此应用程序部署在 Windows Azure 云服务中。我将 Windows Live ID、Yahoo（开箱即用）和 SiteMinder 12.51 配置为身份提供程序。现在，我可以使用 Yahoo 和 Windows Live ID 身份提供商登录到应用程序。

我在 ACS（Windows azure 云服务应用程序）中的 RP 接受 SAML 2.0 令牌。我已经在 Azure ACS 和 SiteMinder 12.51 之间配置了 WS-FED SAML 2.0 联合。我有 ACS 中的令牌加密、解密和签名的有效证书。我已经使用 MetaData 导入和 ACS 领域配置了 SiteMinder IDP，显示正确的实体 URL。通过 SiteMinder（作为 ACS 中的 IDP）登录应用程序时，出现以下错误。

处理您的请求时发生错误。

在这里，我没有看到我的异常的“内部消息”。在我的情况下，所有可能的原因是什么？如何在 ACS 中启用内部消息。如果有人在这个问题上帮助我，我将不胜感激。

谢谢， 马赫什

我成功地使用 ACS 登录到使用 Windows Live、Facebook 和 Google 的 Web 应用程序。

Google 在确认消息中包含服务命名空间，如下所示：

我想这是正确的行为，因为作为用户，您想知道要求索赔的是什么。Windows Live 不显示任何内容，Facebook 使用已设置的应用程序名称。

显然，对于用户来说，看到谷歌的严谨性可能会让人感到困惑。您来自mydomain.com，并且正在批准myfunnynamespace.accesscontrol.windows.net。

有什么方法可以将信息传递给谷歌，这对用户来说更有意义？我知道您无法更改 Google 正在寻找的 URL。但是 ACS 可以传递附加信息，例如应用程序名称，还是可以像 Facebook 一样创建“应用程序”？

如何将新 JWT 处理程序库 (System.IdentityModel.Tokens.Jwt) 的 1.0.0 版集成到 ASP.NET MVC 4 应用程序中，以处理来自 ACS 的 Azure JWT 令牌？

当我尝试运行我的应用程序时收到以下错误：

[SecurityTokenValidationException: Jwt10329: 无法验证签名，Configuration.IssuerTokenResolver.ResolveToken 返回 null。jwt.Header.SigningKeyIdentifier: 'SecurityKeyIdentifier (IsReadOnly = False, Count = 2, Clause[0] = X509ThumbprintKeyIdentifierClause(Hash = 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX), Clause[1] = System.IdentityModel.Tokens.NamedKeySecurityKeyIdentifierClause) '.] System.IdentityModel.Tokens .JwtSecurityTokenHandler.ValidateSignature(JwtSecurityToken jwt) +1275
System.IdentityModel.Tokens.JwtSecurityTokenHandler.ValidateToken(JwtSecurityToken jwt) +113
System.IdentityModel.Tokens.JwtSecurityTokenHandler.ValidateToken(SecurityToken token) +339
System.IdentityModel.Tokens.SecurityTokenHandlerCollection.ValidateToken(SecurityToken token) +73
System.IdentityModel.Services.TokenReceiver.AuthenticateToken(SecurityToken token, Boolean ensureBearerToken, String endpointUri) +120
System.IdentityModel.Services.WSFederationAuthenticationModule.SignInWithResponseMessage(HttpRequestBase request) + 493
System.IdentityModel.Services.WSFederationAuthenticationModule.OnAuthenticateRequest(Object sender, EventArgs args) +364
System.Web.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +136 System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean&同步完成）+69

我的 web.config 配置如下：

我已将 Azure ACS 设置为返回 JWT 令牌并在 web.config 中设置了正确的安全缩略图，但我很困惑为什么会发生此错误。有什么见解吗？

我正在使用 Azure ACS 在 SSO 场景中评估使用 JWT 令牌而不是 SAML 令牌。JWT 被提升为比 SAML 更轻量级，但我不确定如何评估该声明。我假设令牌是通过 FedAuth 和 FedAuth1 cookie 传递的，但在我的测试中，两个令牌之间的 cookie 大小是一致的。如果有的话，使用 JWT 时 cookie 会稍微大一些。

我的使用将用于 ASP.NET 和 WebAPI 的流量较少。

如果我使用 Asp.net，我可以添加 sts，并从 Claims 获取用户信息。

但是现在我有一个winform应用程序，所以我不能在我的项目中添加STS引用。我需要让用户使用 Google 帐户登录我的应用程序。

我可以在后面的代码中获取 SWT 令牌。但我不知道如何使用这个 SWT 获取用户帐户信息。任何身体都可以帮忙吗？非常感谢！

我正在尝试使用 Windows Azure 访问控制来避免在我的应用程序中使用用户名/密码的安全风险并简化身份验证。但是，这是一个可供希望“预认证”用户的中型或大型公司使用的站点。换句话说，他们可能希望通过输入用户的 Windows Live ID 来批量创建用户，并在该用户通过 Azure ACS 登录之前自动创建他们的帐户。我可以通过向该用户发送一封电子邮件来完成此操作，其中包含指向一次性使用页面的链接以创建他们的帐户，但我希望做一些更无缝的事情。

我正在尝试做的相当于 Team Foundation Service (*.visualstudio.com) 让您只需输入他们的 Windows Live ID 即可将用户添加到团队项目，一旦您这样做，他们就可以登录并访问该项目，即使该用户以前从未登录过 TFS。

我不明白的是如何使用 ACS 和 System.IdentityModel 来做到这一点。我可以使用 nameidentifier 声明来唯一标识一个用户，但是如何通过给定的提供程序为另一个用户获取 nameidentifier？

如果我没有很好地解释这一点，我很抱歉，所以请随时提出问题。

我将自定义 STS 用作 IDP，将 WCF 服务用作 RP 和 Azure ACS。

获取 ACS 令牌时出现以下错误-

ACS10002：处理 SOAP 正文时发生错误。ACS50000：发出令牌时出错。跟踪 ID：810078c0-d799-4652-9152-cff0b730d4bd 时间戳：2013-10-19 14:18:29Z

该错误并没有让我知道实际发生了什么。有没有办法让 MS 支持使用跟踪 ID 来获取错误详细信息。

在 MVC 中，这两个有什么区别？

它们看起来相同，甚至返回相同的类型/类System.Web.Security.RolePrincipal，但有一些细微之处。

例如。以下代码在针对通过 ClaimsPrincipal.Current 生成的实例调用时会引发各种错误

当 cp 是这样时，上述方法有效：

通过快速查看深入了解私人成员时，我可以看到他们都有相同的 Claim 字典。但是，无论出于何种原因，当针对由返回的对象调用时，公共属性都会爆炸ClaimsPrincipal.Current

帮助 - 这是为什么！？这真让我抓狂。

=============编辑===================

应该差不多该睡觉了。

IPrincipal 支持多种身份。它需要某种商店。IIdentity 返回一个 ClaimsIdentity 的实例并且不需要存储。

我只是钻了错误的属性。他们两个的形状几乎相同，即。相同的属性和方法，我让他们感到困惑。