问题标签 [claims-based-identity]

我正在观看 Venky 在第 9 频道的精彩视频。

http://channel9.msdn.com/shows/Identity/Sharepoint-2010-and-Claims-Based-Identity/

这讨论了关于声明身份和 STS 的高级视图。我从视频中有以下问题：它讨论了在 WFE 上转换从 STS 发出的传出声明令牌，然后在 Application Server 上由 STS 转换为 SharePoint 声明。我们是否在每台 SharePoint 服务器上都安装了 STS？还是 STS 是整个 FARM 使用的中央服务器？

湾。此外，它最后说，它与使用来自配置数据库的相同证书的 STS 相同。那么使用相同证书是相同的 STS 还是不同的 STS？

谢谢。

我必须为 PeoplePicker 实现我自己的 SPlaimProvider。有一些方法可以覆盖。问题：我无法弄清楚某些方法/参数的用法。所有这些方法都是特定于声明的。

例子：

• 方法 FillClaimValueTypes。什么是索赔价值类型？这是什么意思？
• 方法 FillSearch、参数 hierarchyNodeID、searchTree - 这一切是关于什么的？我该如何使用它？

有想法吗？

我按照这个链接做了

http://msdn.microsoft.com/en-us/library/gg251994.aspx

但我们的场景有点不同：

我们有一个 WinForm 客户端、Wcf 服务（作为 Windows 服务托管）、Sts（作为 Windows 服务托管）、基于声明的共享点站点用于报告

如上面的链接，我必须创建一个 asp.net Web 服务作为身份提供者安全令牌服务 (IP-STS)，但我们此时不想使用 IIS。我们希望它能够作为独立服务运行，没有任何依赖关系。使服务器设置和维护变得简单。那么，当用户登录到 WinForm 客户端，然后当用户单击客户端的链接以查看报告时，我如何保留令牌，我们将使用它对 SharePoint 进行身份验证（使用我们的 STS 托管作为 Windows 服务）而不创建新 IP - 托管在 IIS 中的 STS 并强制用户必须再次输入他们的信息才能对 SharePoint 进行身份验证。

任何想法或帮助将不胜感激！

我正在遵循Microsoft实施联合身份的指南。因为它没有说明代码应该放在哪里，所以我\App_Code\Auth.cs为它创建了一个文件。当需要FederationResult对我的家庭控制器实施时，我尝试使用上述命名空间，但 VS 抱怨缺少程序集引用。

奇怪的是，其中的代码Auth.cs没有抱怨……我查看了References项目的项目，没有看到任何我能识别的东西，尽管我对项目做了“添加 STS 引用”。我也查看了 NuGet，但没有看到我应该添加的任何内容......

这里发生了什么？

我有一个想要实现声明支持的 MVC3 应用程序。我的目标如下：

1. 提供一个登录链接，单击该链接会显示一个带有用户名/密码和 Facebook/WindowsLive/Google 等链接的弹出窗口

2. 访问受保护的控制器时自动重定向到我的登录页面，例如 /Order/Delete

我已经在 AppFabricLabs.com 中设置了应用程序和提供程序，并将 STS 包含在我的项目中。我还创建了 IAuthorizationFilter 的实现，因此我可以将我的控制器标记为 [WifAuth] 并成功调用 OnAuthorization 方法。我已经实现了访问者未经过身份验证的用例，如下所示：

并使用我的身份提供者选择成功获取 AppFabricLabs 页面（尚未弄清楚如何自定义该页面）。当我登录时，我的 returnUrl 被调用，所以我进入了一个控制器方法 /Home/FederationResult，但是发布给我的表单只包含wa和wresult字段，但我需要wctx知道将用户发送到哪里......我没有能够弄清楚为什么。

wresult是一个 XML 文档，其中包含（在无数其他事物中）登录用户的姓名和电子邮件地址，但遗憾的是不包含用户前往的 url。

我是否未能配置某些东西，或者我只是不在基地？任何人的想法？

• e

好吧，不完全是 5 岁的孩子，但如果可能的话，请避免流行语和企业用语。

基于声明的身份验证现在似乎风靡一时，但我找不到一个简单而实际的解释来解释它实际上是什么，它与我们现在所拥有的有什么不同（我假设“我们现在所拥有的”是基于角色的身份验证），使用它有什么好处等。

我有一个 RP，我使用 ACS 的 Json 提要为其构建了一个登录页面。IP 图像链接到.LoginUrl提要的属性，当我单击其中一张图像时，它会正确跳转到该 IP 的页面。

但是，输入我的凭据后，我被重定向到 appfabriclabs.com 网站上的一个页面，并出现以下错误：

RP 在 App Labs 站点中配置，returnUrl为：

在查看提要中的wreply参数时，我看到：

根据像 [ this one ] 这样的一些 SO 文章，应用程序的返回 url 应该是 wreply 参数的前缀 - 这显然不是这里的情况。

所以……我现在做错了什么？

• e

ps 一个有趣的信息：在 ACS 的应用程序集成页面中，有一个指向 ACS 托管登录页面的链接。那里使用的链接似乎与我在提要中给出的链接不同；特别是，ACS 托管的页面使用以下wctx：

而提要给了我：

所以我不知道那有什么价值，但也许这是出了什么问题的线索。

* 更新 *

解码后，最后一个字符串是：

这清楚地表明 Json 提要提供了 ACS 托管页面中不存在的ry ...对任何人都意味着什么？

我在 appfabriclabs 的 Windows Live、Facebook、Google 和 Yahoo 的 ACS 中为“名称”和“电子邮件地址”声明创建了规则……但是在依赖方方面，WIF 似乎没有看到它们……我看到了nameidentifier，identityprovider但是没有其他的。

我还需要 ACS 中的其他东西来完成这项工作吗？我如何检查索赔是否确实存在？

* 更新 *

显然，只有 Windows Live 失败了。其他提供者将我配置的声明返回给我。此外，电子邮件地址的声明（例如）我手动配置，因为 ACS 没有它...我输入了类型http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress并将其指示为直通... Windows Live 不提供电子邮件地址吗？

* 更新二 *

好吧...根据这篇文章，我不能只配置它；我将不得不做一些其他的巫术来获得它......但必须有一些方法来获得比 /nameidentifier/ 更多的东西，因为当我使用 Windows Live ID 登录网站时，我显示为正在登录作为“ekkis”——有人知道这是怎么做到的吗？

我正在尝试从 LiveID API 检索一些信息，但出现错误：

代码比较简单；我包括库，使用nameidentifier从 WIF 获得的声明调用初始化程序，然后请求me路径。

从错误消息中我推测我未能提供访问令牌......但是自从我成功检索到声明后，我的应用程序是否已经有了这个？

这是我的代码：

* 更新 *

我突然想到，也许我需要登录系统，所以我现在有：

但同样的错误......

是否有人使用现有 STS 实施基于 Dynamics CRM 声明的身份验证？白皮书说：

Dynamics CRM 2011 中的用户身份验证基于 Windows Identity Foundation，它构成了基于声明的身份验证的基础，允许用户将其身份显示为一组声明。在这种情况下，安全令牌服务实际上执行身份验证，而不是 Dynamics CRM。这种身份验证机制的标准化使 Dynamics CRM 2011 更易于在利用多种身份验证机制的基础架构中实施，包括第三方 SAML 兼容提供商

但我找不到任何参考文件如何完成它。

任何帮助是极大的赞赏。