问题标签 [federated-identity]

我正在尝试在本地计算机上测试联合登录应用程序。我将 django 与Socialauth应用程序一起使用。但是，在 localhost 上登录时，我收到一个 403 Forbidden django 错误页面，通知我“CSRF 令牌 [is] 丢失或不正确”。我假设这意味着我访问的网站未经授权。

您可以在 google域管理页面上添加localhost，但是当您尝试管理该页面时没有任何反应。

那么，有没有办法在本地机器上测试联合登录？

我有一个关于 Shibboleth 的高级/概念性问题。

我正在开发一个数据驱动的 Web 应用程序的前端（运行 Drupal）。最终用户与前端交互以构建数据查询，后者向缓存/归档数据代理（“数据检索服务”）发出后台请求，后者要么从其缓存中传递数据，要么向外查询更多具有所需数据的服务（“在那里”）。到目前为止一切都很好......它很华丽，但只是和我们试图解决的问题一样华丽。

问题是：数据检索服务查询的一些服务想要实现用户级别的身份验证，这样一些用户可以访问他们的数据，而另一些则不能。出于组织原因，我们的身份和认证机制很可能是 Shibboleth。

所以，这是我的场景：用户使用 Shibboleth 登录到前端。现在，我的前端以及数据检索服务能否以用户身份针对外部服务进行身份验证？如果是这样，这在实践中是如何工作的（哪些身份验证数据从服务器传递到服务器）？

我有一种情况，我们有一个 MVC 2 应用程序（我用一个基本的 MVC 2 应用程序尝试了这个，没有任何额外的东西，仍然是同样的问题）并且正在使用 adfs 2 来验证我的用户。

所以.. 现在我进入我的应用程序并得到以下信息.. ID3206：SignInResponse 消息只能在当前的 Web 应用程序中重定向：'/[app]' 是不允许的。说明：执行当前 Web 请求期间发生未处理的异常。请查看堆栈跟踪以获取有关错误及其源自代码的位置的更多信息。异常详细信息：Microsoft.IdentityModel.Protocols.FederationException：ID3206：SignInResponse 消息只能在当前 Web 应用程序内重定向：不允许使用“/[app]”。

我已经阅读了大多数关于此的博客，并发布到一个..

1. 我在领域和观众Uris 上有斜线。
2. 我已将他建议的内容添加到 Application_BeginRequest – 然后我将代码复制到 [开发域]，因为那是证书所在的位置。然后它就陷入了无限循环。
3. 我还在日内瓦服务器上检查了我的依赖方。标识符和端点（POST）都是 https://[development domain]/[app]/ - 再次带有斜杠

我认为这是一个 MVC 应用程序的问题，我创建了许多 Claims Aware 网站并在 default.aspx 页面上获得了我的声明等。我的想法是，与 MVC 应用程序相关的路由以某种方式将其发回错误？

任何帮助真的很感激，因为我现在安静地看着这个一段时间无济于事..

Ĵ

我正在使用联合登录构建 Google App Engine for Java 应用程序。

当用户使用 OAuth 提供程序登录我的应用程序时，我会返回一个用户对象 [http://code.google.com/appengine/docs/java/javadoc/com/google/appengine/api/users/User.html ]。

我想在数据存储中保留指向该用户的链接。但是，我用什么作为唯一键？是 getFederatedIdentity() 还是 getUserId() ？几乎没有任何JavaDoc。显然，当用户随后登录我的应用程序时，我想检索我保存到数据存储区的对象。

我了解 federatedIdentity 字段，我知道应该始终填充该字段（我只允许联合登录）。但是，如果这是用于将我的详细信息链接到已登录用户的字段，那么 Google 在本地服务器上进行测试时会将其留空......所以这不会有太大用处。

什么是 getUserId 字段 - Google 如何设置它？如果用户的联合身份保持不变，它会保证保持不变吗？

非常感谢

似乎大多数 WIF 信息对于在整个应用程序中启用联合身份验证很有用。我有兴趣使用 API 创建 SAML 身份验证请求并接收/解释 SAML 响应。

我发现以下关于 SO Reading SAML Attributes from SAML Token的帖子让我在接收和解释 SAML 响应方面朝着正确的方向前进。谁能给我更多关于如何使用 API 创建 SAML 请求的信息？

一般而言，任何有关 API 的更多信息（阅读材料、视频等）将不胜感激。

我正在与Azure ACS 实验室合作，他们使用FederatedServiceCredentials对 Active Federation 的用户进行身份验证。现在我想从 WCF 服务中访问用户的声明。

根据这篇文章，声明由请求线程访问......任何人都可以解释或证明这意味着什么？

由于 FedUtil 或 ACSLabs 中的错误，我正在调整此 WCF AppFabric 实验室示例以使用 ACS 的默认签名证书而不是自定义签名证书。

问题：如何提取 ACS 实验室中使用的签名证书以在 WCF 中使用？

如何使我的 WCF 客户端使用 ACS 对我的内部托管 WCF 服务进行身份验证？问题围绕设置自定义领域（我不知道如何设置。）

我的 ACS 配置类似于ACS 示例，但是“领域”的定义如下所示。

Azure ACS 配置页面的摘录

客户端代码

服务器端代码

...urn:federation:customer:222:agent:11信赖方 ID在哪里

...并且http://localhost:7000/Service/Default.aspx是我希望上述 WCF / WIF 客户端在进行 ACS 身份验证后绑定到的位置。

问题

如何编辑上面的代码，以便客户端和服务器都可以针对某个端口（localhost:700）以及 urn:federation:customer:222:agent:11 领域进行操作

我认为我的服务器代码正确；但是我如何AudienceRestriction在客户端上设置？

我们将设置一个新环境，并建议 SiteMinder 帮助内部用户和联合用户的 Web 应用程序身份验证/授权。但是，我们对 Siteminder 的体验并不好，因此希望避免使用它 - 您会建议哪些替代方案？

编辑：我们目前正计划成为 RP/SP，但有一天也可能成为 IdP。OpenID 是我们计划中的第一个 IdP，但将来会扩展到更多的 IdP

类型声明http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier应该用于什么？

这是主要问题，这里还有其他问题。

它与http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name索赔有何不同？

与名称声明相反，它对于特定用户是永久性的吗？

它是全球范围的还是 IdP 范围的？