问题标签 [claims-based-identity]

我在服务器机器中部署了 WCF 服务。我们正在使用基于声明的身份验证来对 WCF 服务调用者进行身份验证。WCF 服务受使用 IIS 授权规则的限制。

如何使用 .NET 以编程方式调用 WCF 服务？客户端应用程序使用使用 SVCUtil 生成的代理。调用服务从配置文件（不是 app.config 文件，实际上客户端应用程序没有 *.config 文件）中读取凭据。

我有一个控制台应用程序可以从 SharePoint 网站下载文件。sharepoint 站点使用基于声明的身份验证。

此代码引发 403 Forbidden 异常。指定的网络凭据具有对站点的完全访问权限，并且能够从浏览器下载相同的文件。

知道如何解决这个问题吗？

我正在 Azure 中构建一个多租户应用程序并计划使用 Claims (WIF)。我没有托管 ADFS 来向我的应用程序用户发放令牌。

我有什么选择？是否有任何商业产品可用？

感谢和问候，

阿杰

我目前正在从事一个项目，我想在我的一个应用程序中使用基于声明的身份验证（使用 Windows 身份基础）。

唯一的问题是……我开发的解决方案还必须启用基于声明的访问基于 java 的应用程序。而且由于我是.net 开发人员，我不知道有哪些技术可用于在 java 中实现这样的事情。

所以问题是：java 是否有用于构建支持声明的应用程序的库？

.net 中的 Windows 身份基础或 ADFS 2.0 之类的东西？

亲切的问候， 欧文

是否可以与单独的 Asp.net 应用程序共享已登录 Sharepoint 2010 用户的基于声明的身份验证？

以下文章介绍了如何使用 Sharepoint 2007 以及通过表单身份验证和共享机器密钥等进行表单身份验证，但是我找不到有关使用 Sharepoint 2010 现在使用的声明身份验证的外部应用程序的任何信息？

假设我正在接受一种商业模式，如果他们访问我的网站，可以免费访问我的专有数据。这些用户会有广告补贴的费用。

然后，对于付费用户，我想提供对我的数据的直接原始 WCF 访问作为激励。我不希望免费赠品用户可以使用它，但同时该站点正在使用 AJAX 来呈现页面内容。

问题

就像今天一样，AJAX 和原始 WCF 访问在线上看起来是相同的。我需要确定流量的来源是什么（网页，或不是），并保护我的实现免受滥用。

可能的解决方案？

可以获取页面变量（在 ASP.net/Javascript 中）并将其用作非付费用户所需的验证密钥。我可以在每个 AJAX 请求中包含这个密钥。如果这是最好的解决方案，我应该如何将它从服务器发送到客户端？

关于认证

不确定这是否重要，但所有用户（付费和非付费）都将通过身份验证。cookie 将存储在客户端上，并且可能由 STS 生成。

我有：

• 一个被动的 STS“登录应用程序”，它也是一个身份提供者。
• 可以接受和处理 ActAs 令牌的活动 STS WCF 服务
• 网站依赖方
• 由网站调用的 WCF 服务依赖方。

所有这些都使用 Windows Identity Foundation 和自定义 STS 代码组合在一起。不涉及 Active Directory (ADFS)。

我现在的工作是：

1. 用户尝试访问网站 RP。
2. 用户被重定向到被动 STS。
3. 用户登录，获得一个令牌，被重定向回网站 RP。
4. 网站 RP 对 WCF RP 进行服务调用并传递一个 ActAs 令牌，以便进行委派。
5. 活动 STS 看到 ActAs 令牌进入并正确设置输出身份，因此主要身份是 ActAs 令牌，调用者的身份被添加到 Actor 链中。
6. WCF RP 在一切就绪的情况下获得正确的令牌，当前线程主体具有正确的身份和应有的声明。

我希望 WCF RP 向活动 STS 请求额外的声明。

也就是说，在进入活动 STS 的 RST 中，我希望它包含服务所需的声明列表，以便可以获取那些不存在的额外声明。

我已经通过修改网站 RP 客户端上的绑定来弄清楚如何做到这一点，但我希望在 WCF RP 服务端指定要求。

我觉得这与我正在使用的绑定有关。我在让 ws2007FederationHttpBinding 与 ActAs 令牌一起工作时遇到了麻烦，并且 WIF 身份培训工具包中的所有示例都使用了 customBinding，所以我也这样做了，它终于奏效了。这是来自 WCF RP 的配置片段，显示了我的绑定配置：

如果我更改调用网站上的配置以在issuedTokenParameters 部分中指示claimTypeRequirements，则Active STS 实际上确实会在RST 中看到所需声明的列表......但那是在调用网站上，这对我来说是有问题的。

如何使 WCF RP 可以指定它需要的其他声明，而不必在调用网站上复制该配置？

如果它确实是一个绑定问题，那么如果您可以根据我上面的内容向我展示等效配置，那将会有所帮助。我可以使用适当的更改来更新网站和 WCF 服务，但同样，我需要服务（或服务上的行为，或服务上的配置）来控制它需要的声明列表。该服务不应接受缺少所需声明的请求。

我想根据基于声明的网站中的自定义声明授予文档级权限。一个用户可能有数百个文档或一个。应用自定义声明是个好主意吗？有什么优点或缺点？可以添加到声明集中的声明数量是否有限制？

在此先感谢您的帮助。

我想配置在用户通过被动安全令牌服务 (STS) 登录后应用于依赖方创建的 cookie 的超时持续时间。我相信我在某个地方读到了默认为 14 分钟的内容，但是我再也找不到在哪里读到这个了。

我想把这个时间增加到更合理的 35 分钟左右。

是正确的值来改变

如果这是正确的位置，该值是否以分钟为单位？我似乎在任何地方都找不到关于此的任何文档。

我目前正在将基于 Sharepoint 2007 构建的企业内容管理系统迁移到 Sharepoint 2010。该系统包含一个基于自定义表单的身份验证提供程序和一个自定义角色提供程序。用户角色映射存储在数据库中，如下所示：

userID roleID siteURL

21 15 www.sitea.com

21 10 www.siteb.com

22 15 www.sitea.com

在角色提供者中，分配给当前站点的角色是通过站点 URL 获取和设置的。这可以通过在其 Initilize 方法中设置角色提供者的自定义属性（例如名为 SiteURL 的属性）来解决，如下所示：

SiteURL = SPContext.Current.Web.Url;

但是，在 Sharepoint 2010 中，该行不再可用。因为在 Sharepoint 2010 声明授权中，自定义角色提供程序在名为 SecurityToken Web 服务的单独 Web 服务中调用。所以 SPContext.Current 为空。

现在我必须找到另一种方法来获取请求身份验证的站点 url。你能给我一些建议吗？