我有以下代码尝试使用 WIF 发出“问题”请求。

当我运行它时，我得到以下异常。是否可以使用带有自定义声明的问题来请求安全令牌？

编码：

我正在尝试向我的 STS 发出问题请求，但我不断收到以下异常：

下面的代码在一个 asp.net 网站上运行，该网站正在模拟我自己的用户帐户。STS 服务需要相互身份验证，因此我需要使用我的安全令牌请求发送证书。服务器日志抱怨消息没有附加证书，因此中止了操作。

我在哪里失败了？

}

具有 2 个不同域/领域的 2 个网站是否可以使用同一个发行者？如果是这样，我是否正确地假设不需要在这两个领域之间创建信任，因为它们使用相同的发行者？

我迫切需要为 SP2010 站点创建自定义登录页面。现在，我知道这可以通过基于声明的身份验证和 FBA 来完成，但是经过几天的工作，我无法完成，所以我转向了另一种方法。

也许我可以用 .NET 创建一个前端网站，它会欢迎用户并进行身份验证。然后也许我可以为我的 SP2010 站点设置一个“会话状态”，然后将用户重定向到 sp2010 站点。我不知道这是否可能，但我想学习。

我愿意接受其他为 SP2010 创建自定义登录页面的建议。

提前致谢。

到目前为止，我找到了两种从 ClaimsIdentity 获取 WindowsIdentity 对象的解决方案。首先，我提取用户主体名称 (upn)。

1. 只需使用 upn 调用 WindowsIdentity 的构造函数：

   WindowsIdentity winId = new WindowsIdentity(upn);

2. 使用对 Windows 令牌服务 (c2WTS) 的声明：

   WindowsIdentity winId = S4UClient.UpnLogon(upn);

解决方案 1 对我来说似乎是更简单和更容易的解决方案，但是我不明白 c2WTS 的目的？

有什么建议么？

天呐！

假设我有一个自定义 STS，它对 Web 应用程序的用户进行身份验证。该 STS 还包含用户 ID、姓名和电子邮件地址等数据。我有以下情况：

我有一个使用 STS 的应用程序。在此应用程序中，用户可以创建一条记录，然后其中一个属性将是填充了用户 ID 的“创建者”。如果人们搜索此记录，我想向他们显示真实姓名而不是用户 ID。所以我需要以某种方式保持从用户 ID 到真实姓名的关系。

问题：在应用程序的数据库中，我只有一个用户 ID，但我想显示特定的用户详细信息。最好的方法是什么？我考虑向我的 STS 添加一个方法，让我查询其他用户数据，但如果我需要在屏幕上显示 50 条记录，它们都有不同的用户 ID，那将非常慢。另一种解决方案是在我的应用程序中保留一个包含用户数据的表格。当我的应用程序第一次使用“用户”时，会将用户添加到此表中。但是您如何以及何时同步此表？

我想我更喜欢解决方案 2，并且每天晚上左右同步数据。

你们有什么感想？

我创建了带有服务的 Web 应用程序，以使用 WS-Trust 协议为某些 Silverlight 应用程序接收声明。我看到声明是在 GetOutputClaimsIdentity() 方法中创建的（称为两次，为什么？），但在 Silverligh 级别我收到“未找到”消息（空流？）。

Silverlight 对 WS-Trust 的支持我从最新的 WIF 培训工具包中获得。我试图在服务器端调试代码，但不幸的是，WIF 源代码还不能作为 .NET Framework 调试的一部分使用 :(

所以我不知道为什么它没有正确地向客户端应用程序发送带有声明的响应。

WS-Trust 项目的 Web.config 文件的内容如下（我目前使用自签名证书）：

提琴手结果如下：

HTTP/1.1 504 Fiddler - 接收失败内容类型：文本/html 连接：关闭时间戳：15:41:21.666

ReadResponse() 失败：服务器没有为此请求返回响应。

什么会导致这样的问题？

我需要在 SharePoint 2010 中为声明用户执行搜索模拟。为了把它放在上下文中，我想先说明我如何让它与 Windows 帐户一起使用，然后讨论 Claims / WIF。

Windows 帐户

我可以使用以下方法为“经典”Windows 集成身份验证用户执行此操作：

要使上述工作正常，模拟帐户必须与当前用户位于同一域中，并且我必须确保应用程序池所有者是：

• 域中具有 Windows 2003 或更高版本“域功能级别”的域帐户
• 在本地机器上具有“充当操作系统的一部分”权限
• 在本地机器上具有“身份验证后模拟客户端”权限

（注意：如果有人能弄清楚如何解决当前帐户必须与模拟帐户位于同一域中的问题，我会全力以赴。）

理赔账户

我想对索赔 / WIF 帐户做同样的事情。这些帐户不一定与 AD 帐户相关联（我需要假设它们不是）。

有没有办法告诉 STS 我想模拟一个特定的帐户并让它给我该帐户的适当令牌？我不会有我正在模拟的用户的密码。

引用SharePoint Brew我必须处理在 SharePoint Web 前端 (WFE) 上运行的代码，该前端通过 WCF 调用调用查询处理器。我希望 WCF 调用在模拟用户的上下文中。

WFE (Server1) 的搜索 Web 部件与服务应用程序代理对话。关联的搜索服务应用程序代理调用本地 STS 以获取用户的 SAML 令牌。收集 SAML 令牌后，搜索服务应用程序代理将通过 WCF 调用调用运行查询处理器的服务器。我将此服务器称为“服务器 2”。服务器 2 接收传入请求并根据其本地 STS 验证 SAML 令牌。验证后，服务器 2 连接到各种组件以收集、合并和安全修剪搜索结果。服务器 2 将修剪后的搜索结果发送回服务器 1，然后将其呈现给用户。

更多的研究使我转向查看ActAs和OnBehalfOf。我相信我会想使用 OnBehalfOf，但我不确定两者都行得通。下面列出了我找到的一些参考资料。任何指导表示赞赏。

• .NET Framework 开发人员中心 - 充当与代表
• Pablo M. Cibraro（又名 Cibrax）博客 - WIF 中的 ActAs 和 OnBehalfOf 支持
• 编程 Windows Identity Foundation（我有书）

如何将 Sharepoint 身份验证集成到我的 BPOS 设置中？我希望用户使用与登录 BPOS 相同的凭据登录 Sharepoint。这是为了避免必须为 Sharepoint 2010 使用单独的 FBA。

请注意，我使用的 Sharepoint 是 Sharepoint 2010 企业版，而不是 Sharepoint Online。

谢谢

我想在我的 SharePoint 2010 企业版环境中将身份验证提供程序从 Kerberos 更改为基于声明。

我的 SharePoint 环境中会出现哪些问题？我听说如果 RSS 阅读器 Webpart 使用来自我的 SharePoint 的提要，则该 Webpart 会出现问题。它可能不适用于基于声明的身份验证。还有其他类似的问题吗？