问题标签 [claims-based-identity]

我有两个网站：

1) 内网 company.local（声称的广告）

2) 互联网 company.com (扩展 1)) 表格 (asp.net 会员)

我在 web.configs 中有这个

OkSMP2 是 asp.net 会员提供商的名称

在 1) 我只看到所有用户、Sharepoint 组、AD 服务。没有 FormsAuth :(

有任何想法吗？

我有几个带有自定义成员资格提供程序的旧版 ASP.NET 应用程序。他们还使用了我们为其编写了自定义客户端的基于 SAML 的外部身份提供程序。我被 WIF 和 ADFS 的价值所推销。SAML 身份提供者将与 ADFS 一起使用，但我们需要支持旧的成员资格系统。

我是否需要创建自定义 STS 来处理旧版身份验证？如果是这样，许多开发人员出于各种原因建议不要这样做。是否有模板或框架可以帮助我使其安全和可扩展？我见过 SelfSTS 和 StarterSTS，但它们都暗示它们不适用于生产用途。

如果没有，有哪些选择？

我正在开发一个声明感知 ASP.NET MVC 应用程序。身份验证通过 Active Directory 联合身份验证服务完成。ADFS 服务器的超时时间为 8 小时。在应用程序级别，我将会话超时和应用程序池空闲时间提高到 3 小时。但如果用户在 30 分钟内处于非活动状态，ADFS 服务器仍会重新验证用户身份。为什么会这样？我需要设置什么我没有设置。对此的任何帮助将不胜感激。

谢谢！

维尼塔

我有一个想要添加基于声明的授权的 MVC 应用程序。在不久的将来，我们将使用 ADFS2 进行联合身份验证，但现在我们将在本地使用表单身份验证。

有没有人看过关于在没有外部身份提供者的情况下使用 WIF 的最佳方法的教程或博客文章？

我已经看到了以下内容，但它现在已经一岁了，我认为应该有一个更简单的解决方案：

http://geekswithblogs.net/shahed/archive/2010/02/05/137795.aspx

我正在开发一个连接到声明软件 WCF 服务的 Silverlight 4 应用程序。我正在使用以下代码在我的 WCF 中检索声明令牌以执行授权。

当我在 WCF 中使用 wsHttpBinding 并使用控制台应用程序进行尝试时，它工作正常。但由于 Silverlight 仅支持 basicHttp 和 customeBinding，我不能使用 wsHttp、ws2007Http 或任何其他绑定。因为我没有从 Silverlight 获得我的 WCF 中的 IClaimIdentity 令牌。

有什么方法可以使用任何 Silverlight 支持的绑定，并且仍然可以在我的 WCF 中获得 ClaimIdentity。是否有任何教程/帮助文本可以让我阅读更多关于此的内容。

我的 WCF 设置是：

我正在使用 Azure ACS 并将其合并到我的 .NET 4.0 网站的 SSO 策略中。我在规则组页面上看到可以存储一堆不同的声明并将其传递回 RP（例如国家、街道地址、电话等）。看起来您还可以返回您想要创建的任何声明类型。这让我想到了许多与为用户存储信息有关的问题：

• 在 ACS 与本地数据库表中存储用户信息（名称标识符除外）是否有意义？
• 听起来您可以在其中创建无限的规则组和规则。那是对的吗？
• 我将与公司内部的不同公司和用户打交道。为每个公司创建一个规则组，然后为每个用户制定规则是一个明智的选择吗？
• 看起来 API 非常健壮，并且可以通过注册页面等自动完成。正确还是不正确？
• 是否可行并建议对 ACS 运行查询以返回有关用户的信息（例如，在他们离线时查询他们的电子邮件地址以向他们发送有关某事的消息）
• 您能否从 ACS 获取大量信息以用于报告目的？

在我们使用 Windows Identity Foundation 的项目上工作。在测试注销解决方案时，我发现以下调用 http://rp/?wa=wsignoutcleanup1.0不会删除 RP 上的 FedAuth cookie。这反过来又使用户在 RP 上保持登录状态。

为了纠正这种情况，我在 Global.asax 中添加了以下代码：

但是WIF不应该自动处理这个吗？或者这是这样做的方法？

我有一个运行 WCF Net Tcp 绑定服务的 Windows 服务。所有绑定和端点信息都以编程方式设置。

在 sharepoint 中，我正在使用通道工厂访问此服务：

此代码使用 SharePoint 2007 运行良好。现在我们将 SharePoint 网站升级到 2010，基于表单的新声明身份不会发送客户端凭据。我得到这个错误。

有谁知道我如何让 Channel Factory 发送应用程序池的凭据？现在我已经通过使用 RunWithElevatedPrivileges 解决了我的问题，但我并不热衷于这样做，除非我没有其他选择。

基于 WIF 的 WCF 服务需要调用方法FederatedServiceCredentials.ConfigureServiceHost()或将等效元素<federatedServiceHostConfiguration>放入web.config文件中才能工作。这是服务级别的设置，换句话说，它适用于所有端点。

根据方法文档，该ServiceHostBase实例以几种特定于 WIF 的方式进行了修改。例如，授权被基于 WIF 的授权类替换。

现在我想要一个<service>（内部<system.serviceModel><services>）和多个<endpoint>s，其中一个端点是基于 WIF 的，其他端点使用普通的 Windows 身份验证。

更新。 针对下面的答案，让我解释一下为什么我们要混合使用 WIF 和非 WIF 端点。如果我们只使用 WIF，那么我们的每个客户都需要一个 STS，比如 AD FS。设置它并不难，但它是一个障碍，特别是如果他们只是想试驾我们的软件。所以我们要做的是在使用 Windows 集成身份验证的模式下安装（对于我们的 Web 服务，也对于我们的前端），然后他们可以切换到使用 AD FS 的模式。

所以基本上我们希望能够在没有 AD FS 的情况下进行安装，以降低应用程序的进入门槛。

为此，<service>需要一个<federatedServiceHostConfiguration>. 但是——这是我的问题——这也会影响同一服务的非 WIF 端点：例如，它们突然使用 WIF 授权管理器（类ClaimsAuthorizationManager的一个实例）。

所以我的问题是：在单个 WCF 中混合 WIF 和非 WIF 端点的推荐方法是什么<service>？

Azure 的 ACS 服务非常好用，我喜欢它的所有魔力，但我希望我的 Web 应用程序 (MVC) 少一点魔力。如果您查看 CodePlex 上的代码示例，很容易调用该服务并从如下端点获取登录提供程序的 JSON 列表：

https://.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=http%3a%2f%2flocalhost%3a7070%2f&version=1.0&callback=?

从生成的 JSON 中，您可以呈现一些指向提供程序的链接，一旦您处理了这些登录，他们将通过 ACS 将您退回，并且 ACS 将使用生成的令牌发布到您在 Azure 中设置的任何端点门户网站。

我的问题是，我该如何处理该令牌？我不想使用创建集合 IPrincipal 的 WIF“魔法”，而不是什么。我只是不想弄乱我在应用程序中已有的内容。