问题标签 [claims-based-identity]

我正在我的办公室开展第一个项目，我们将使用“Windows Identity Foundation”和基于声明的授权。为此，Microsoft .net 提供了 ClaimsAuthorizationManager 抽象类。为了使用这个类，你重写了两个方法：构造函数和CheckAccess(context as ClaimsAuthorizationContext).

构造函数设置一切；然后当用户访问某些东西（例如网页）时，CheckAccess会使用一个参数调用该参数，该参数指示用户、要访问的资源以及要对资源采取的操作。例如，CheckAccess可以调用以查看是否Bob应授予用户对资源的访问权限http://www.mysite.com/SecretPage.aspx以执行操作GET。 CheckAccess简单地返回trueor false。Windows Identity Foundation 让我们可以灵活地实现CheckAccess几乎任何可以想象的方式！

在 Microsoft 提供的代码示例中，CheckAccess配置为仅当用户的生日声明表明年龄为 21 岁或以上时才允许访问该用户。此策略在 web.config 中以纯文本形式给出，并在ClaimsAuthorizationManager构造函数中读取。

在我的办公室里，我们使用 SQL 来跟踪几乎所有的数据，就我而言。ClaimsAuthorizationManager我相信编程从 SQL 读取数据以确定用户是否可以访问资源是有意义的。然而，有无数不同的可能政策。我想创建一个ClaimsAuthorizationManager在当前项目中有用的，并且我可以在未来进行构建和改进，而不必撕掉和替换我今天创建的项目。

当我继续这个项目时，最重要的事情是什么？

更新：我一直在研究将要求的索赔政策表示为字符串的系统。我使用二叉树逻辑将策略组合在一起。我维护一个与“资源”和“行动”相关的声明数据库。

这里有没有其他人建立了 ClaimsAuthorizationManager 类？

是否有以下可用的体面示例：

查看WIF SDK，有一些将 WIF 与 ASP.NET 结合使用的示例，使用WSFederationAuthenticationModule (FAM)ASP.NET 网站在用户用来进行身份验证的安全令牌服务 (STS) 之上的瘦皮肤（通过提供用户名）和密码）。

如果我正确理解 WIF 和基于声明的访问，我希望我的应用程序提供自己的登录屏幕，用户在其中提供用户名和密码，并让这个委托给 STS 进行身份验证，通过安全标准将登录详细信息发送到端点(WS-*)，并期望返回 SAML 令牌。理想情况下，SessionAuthenticationModule将按照示例FAM与 SessionAuthenticationModuleie 一起使用，即负责IClaimsPrincipal从会话安全分块 cookie 重建并在安全会话到期时重定向到我的应用程序登录页面。

我所描述的是否可以使用FAM并SessionAuthenticationModule使用适当的 web.config 设置，还是我需要考虑自己编写一个HttpModule来处理这个问题？或者，是否重定向到用户在被动请求者场景中登录事实上的方法的瘦网站 STS？

我一直在阅读有关 SharePoint 2010 的基于声明的身份验证支持的信息。在这一点上，我的商店有几个客户可能暂时不会升级。在使我们的其他服务声明兼容时，我们想知道如果不对 2007 年安装中的现有代码进行大量修改，基于声明的身份验证是否可行？

如何将Windows Identity Foundation SDK与 Windows XP 一起使用？

我试图使用 ASPNetSQLMembershipProvider 设置基于表单的身份验证。在 2010 Beta 2 中，我能够在经典模式下做到这一点，并且成功了。使用 RTM，经典模式下不再支持，我必须切换到基于声明的身份验证。所以我创建了一个新的 Web 应用程序，并在 sharepoint 中配置了所有内容以使用 FBA，但我无法让它工作。

有人设法做到这一点吗？

谢谢，伊泰。

基于声明的身份验证与 OAuth 提供的身份验证有什么区别。

我正在寻找概念上的差异，而不是技术上的差异。我什么时候选择声明而不是 OAuth，反之亦然。

基于声明的身份验证由 Microsoft 提出并建立在 WS-Security 之上。但 OAuth 更像是一种开源协议，被提议允许基于安全令牌从不同的门户获取资源。

Claims 也有这个令牌的概念（SAML 编码或 X509 证书）。

我试图了解何时选择声明而不是 OAuth，反之亦然。

谢谢

在 .net 基于声明的身份框架中

如果我想限制用户对某个帐户进行操作（查看或编辑），比如说一个帐户，一个特定帐户 #123456。（我说的是商业实体，比如银行帐户。）创建索赔是否是个好主意对于他们可以查看或编辑的每个帐户？

在一个集合中有很多声明有什么缺点吗？系统管理员可能有权访问系统中的所有帐户，从而创建数百个索赔（每个帐户可能不止一个）

我计划在没有 ADFS 服务器的情况下为 SharePoint Foundation 2010 创建非常简单的自定义 IP-STS，因此任何人都可以在没有 ADFS 的情况下将 Windows Live ID 集成到 SharePoint Foundation 2010，我不能使用 ADFS 服务器，因为它无法安装在 Windows Web Server 2008 上（ Web 版），我还发现很多文章使用 LDAP 提供程序，但它在 SharePoint Foundation 中也不存在（它需要 Sharepoint Server 版）。

经过太多搜索，我刚刚找到了以下文章，并找到了除一个问题之外的所有技术。

1）创建自定义声明提供程序：blogs.technet.com/b/speschka/archive/2010/03/13/writing-a-custom-claims-provider-for-sharepoint-2010-part-1.aspx

2) 创建自定义 STS 提供程序：http: //blogs.msdn.com/b/chunliu/archive/2010/04/02/how-to-make-use-of-a-custom-ip-sts-with-sharepoint -2010-part-1.aspx

只剩下一步：在 STS 站点中输入用户名并重定向到 localhost/_trust/default.aspx 后出现以下错误，（我将 EncryptingCertificateName 留空）。

由于对象的当前状态，操作无效

我希望得到拒绝访问错误而不是那个错误。

1.有可能吗？2.谁能帮我在哪里可以找到工作文章来创建没有 ADFS 服务器的自定义 IP-STS 任何想法都会帮助我

谢谢

一段时间以来，我一直在使用Windows Identity Foundation进行基于声明的身份验证编程。

在我看来，在Windows Identity Foundation中，一旦用户登录，声明基本上就是描述用户的信息字符串。

使用旧的基于角色的身份验证，我可以说用户是或不是给定组的成员，但使用基于声明的身份验证，我现在可以拥有描述用户的信息字符串。“这个用户是女性”。该用户出生于“1975 年 7 月 6 日”。“此用户使用 USB 密钥登录”。

它是基于声明的身份验证的本质，我有框架提供给应用程序的用户信息字符串吗？

两个问题：

1) 使用 STS 获取声明时，如何/在哪里设置我的 Web 应用程序中会话 cookie 的生命周期？据我所知，我似乎只能在 ServiceConfigurationCreated 事件中以编程方式执行此操作。

2）我如何/在哪里可以确保到期时间在滑动？