问题标签 [cas]

我有一个通过 iframe 加载外部内容（小部件）的门户应用程序。用户通过门户本身登录到CAS 。但是，有一些门户 API 需要从该外部内容中调用。我必须将哪些信息从门户传递到小部件，这些小部件可以用来进行这些调用而不会被 CAS 拒绝？

更新

我调查得越多，我就越认为我的问题归结为 CAS 是如何真正做到它应该做的。换句话说，我怎样才能从我已通过身份验证的一个站点转到另一个站点并告诉它我已经完成了身份验证。这背后的机制是什么，我如何在网络环境中使用。

I've got a web part that accesses the SP object model, packaged in an assembly which is signed and deployed to the GAC. The web.config is set for "Full" trust, and yet my web part throws a SecurityException. The offending lines of code:

It appears that the exception is thrown when RunWithElevatedPrivileges is called (in other words, my delegate doesn't execute at all). Any ideas? I'm completely bewildered at this point.

update: here's what the code looked like before I wrapped it in the RunWithElevatedPrivileges method:

And the exception:

Based on the highlight provided by the exception helper, it looks like the attempted access of the SPUser.Groups property is the problem: user.Groups.

What's got me really confused is that this exact code was working fine two days ago, but I had some other problems with the farm and basically had to rebuild it. After getting everything else back up again, I went and tried to add this web part to a page and this problem manifested itself. I tried wrapping the code in the RunWithElevatedPrivileges wrapper to see if I could isolate exactly the offending bit, but it looks like anything that touches the SP oject model causes the exception, including the RunWithElevatedPrivileges method.

update2: I still don't know the real reason this was failing, but it was happening when I was trying to add the web part. After setting breakpoints in the debugger, I realized that the constructor was being called twice; the first time, it all worked exactly as expected, but the second time was when the exception was being thrown. I still have no idea why. I found two ways around this: move the offending code out of the constructor into a later point in the lifecycle of the web part, or comment out the code to add the web part, then uncomment it and redeploy.

Apparently, the reason this "worked 3 days ago" was because I had added my web part to a page a long time ago, and then added the above code to the constructor. Since the web part was already added, I never saw any problems. Later, when I recently had to rebuild the site and add the web part to the page again, this problem manifested itself. So technically, it didn't "work" before, I just wasn't doing the thing that made it misbehave.

Anyway, like I said - I still don't know the true cause of the exception, so answers along those lines are still welcome.

我现在正在尝试使用 WIF 和 AD FS 2.0 实现具有基于声明的身份的 Web SSO。现在我有一个现有的 ASP.Net 应用程序，它将身份验证委托给 AD FS 2.0 服务器并信任颁发的安全令牌。这工作得很好。

但是，在该组织中有一个支持 SAML 2 协议的现有 JA-SIG 中央身份验证服务 (CAS) 服务器。我想用现有的 CAS 服务替换 AD FS 2.0。

据我了解，WIF 使用 WS-Federation，它就像一个围绕 SAML 令牌的容器。是否可以使用普通的 SAML 2 协议及其绑定（重定向或 POST）？如果这是不可能的（我猜），第二种选择可能是使用联合身份并将 AD FS 2.0 与 CAS 联合。那可能吗？网络上几乎没有关于这方面的信息。

谢谢 ：-）

我正在建立自己的 CAS。编写了身份验证处理程序，并针对 MySQL 数据库对用户名/密码进行了身份验证。我还添加了注册页面和相关逻辑。

现在我想让用户在他/她注册为用户时自动登录。如何做到这一点？

成功验证后，我需要将某些属性（例如，人类可读的用户名）从服务器发送到客户端。服务器部分已完成。现在属性已发送给客户端。从日志中，我可以看到：

2010-03-28 23:48:56,669 调试 Cas20ServiceTicketValidator:185 - 服务器响应：http://www.yale.edu/tp/cas'> a@b.com

但是，我不知道如何访问客户端中的属性（我使用的是 Spring security 2.0.5）。

在 authenticationProvider 中，将 userDetailsS​​ervice 配置为读取经过身份验证的主体的 db。

现在在我的控制器中，我可以轻松地做到这一点：

理想情况下，我可以以某种方式将此 Clerk 对象的属性作为另一个属性填充。这该怎么做？

或者，在 CAS 的集中式性质下，在所有应用程序之间共享属性的推荐方法是什么？

我正在使用 casrack-the-authenticator gem 进行 CAS 身份验证。我的服务器在 Sinatra 之上运行 Thin。我已经让 CAS 身份验证位工作了，但我不确定如何告诉 Rack 拦截“/index.html”请求以确认 CAS 登录，如果不允许用户查看页面，则返回 HTTP 403 响应而不是提供实际页面。这个事情谁有经验？谢谢。

我的应用程序：

我的机架文件：

最初尝试让 Rack 了解其文件服务中的身份验证（欢迎发表评论和想法）：

我正在寻找一种在 SharePoint 中自动部署自定义 CAS 策略的方法。

我想要实现的是以下内容：

由我们的构建服务器（使用密钥）构建和签名的所有程序集都应在“高于正常”信任级别下在 SharePoint 中运行。

现在我可以手动编辑 cas 策略文件以包含如下内容：

这很好用。但是，我们有几个巨大的共享点农场，上面运行着许多应用程序。我想避免手动编辑所有策略文件以包含此 xml 片段。

有没有办法自动化这个？例如，来自一个特征？

亲切的问候， Erwin van der Valk

在 .NET 中，您可以拒绝堆栈上较高调用者的安全权限“断言”，但这是否真的有效，因为 Assert() 忽略了堆栈上较低的权限？由于这是工作日的结束，我目前没有时间进行实验。指导赞赏！

我有一个成功针对CAS服务器进行身份验证的 PHP 应用程序。该应用程序支持的功能之一是模拟；具有适当权限的用户可以模拟另一个应用程序。通常，这不是问题，因为应用程序本身可以跟踪用户在模拟谁并管理权限（基于用户名）。

然而，一个新的要求出现了，它要求原始应用程序通过 iframe 包含来自第二个也支持 CAS 的 PHP 应用程序的内容。不知何故，我需要第二个应用程序知道第一个应用程序是否发生了模拟。出于安全原因，我不想传递用户名，所以我想知道是否可以将处理模拟的责任转移到两个应用程序共享的 CAS 服务器上。

谢谢。

我有一个程序集，并希望限制可以调用/使用此程序集功能的程序集和应用程序。谁能提供有关如何实现这一目标的详细信息？

根据我在互联网上阅读的内容，这是不可能的，因为任何“完全受信任”的程序集都将自动被授予访问权限。

我正在使用 .NET 2.0 和 3.5，解决方案需要与框架的两个版本兼容。

提前致谢 ;-）