问题标签 [federated-identity]

Windows Azure 访问控制服务 (ACS) 支持联合身份验证，但我看到的所有示例都是被动联合（基于浏览器的应用程序通过一系列 HTTP 重定向和脚本 HTTP 帖子进行身份验证）。

ACS 是否支持主动联合？

换句话说：假设我们有一个富客户端，例如访问 Web 服务的 WPF 或 Silverlight 应用程序。在这种情况下是否可以将 ACS 用作 STS？

在 GAE 上使用 OpenID 联合登录执行身份验证时，我的用户对象具有以下属性：

从文档中，

电子邮件（）

返回用户的电子邮件地址。如果您使用 OpenID，则不应依赖此电子邮件地址是正确的。应用程序应该为可显示的名称使用昵称。

显然，这个建议并不奏效。那么，我如何才能获得权威的电子邮件句柄以与任何 Google Apps 或其他域提供的特定 OpenID 相关联？我真的需要电子邮件 ID，因为邀请和共享/访问控制等所有功能都通过电子邮件 ID 起作用。

Google 和 Facebook 都可以在 Ping Identity 或 Microsoft ACS 等安全联合设置中充当身份提供者。

有谁知道是否可以将 Apple Id 添加为身份提供者？

我正在对 salesforce.com 进行 idp 发起的身份验证。生成的 SAML 令牌已从 salesforce SAML 验证页面成功验证，但是当我从我的 idp 重定向到 salesforce 时，它​​会将我重定向到 salesforce 的登录页面，而不是让我登录到 salesforce 应用程序页面。

我的销售人员有当前设置，如图所示。

我发布以下参数

name="SAMLRequest" 值 = 生成的 saml 令牌。和 name="RelayState" 值 = relaystate

到https://login.salesforce.com/

问题是什么。为什么我被重定向到 salesforce 的登录页面。我与表单一起发布的参数是否有任何问题，例如（参数名称或值不正确）？

我们有一个带有联合 WCF 服务 (ws2007FederationHttpBinding) 的 BizTalk 2006 R2 解决方案。事情似乎还不错，但是我们遇到了一些延迟。

从 WCF 跟踪日志来看，验证传入消息的安全标头似乎需要大约 30-45 秒的延迟。从跟踪来看，处理安全上下文令牌存在延迟（操作：http ://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT ://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT ）。它从跟踪中的点“通过通道接收消息”到“安全协议验证了传入消息”。我们会遇到延迟（每次大约 > 30 秒）。

我们尝试在服务器和客户端上将协商服务凭据设置为 false，但没有得到预期的结果。

有人知道导致延迟的原因吗？

不得不提的是，BizTalk 服务器位于防火墙后面，对资源的访问受限（仅对客户端和 STS 服务器开放）

我使用 WIF 推出了自己的 STS 提供程序，并且还有一些依赖方的应用程序。STS 提供者的会话超时设置为 30 分钟，依赖方也是如此。

当一个人想要注销依赖方和 STS 提供者时，他们会向 STS 提供者发出联合注销查询参数。

https://STSProvider.com/Default.aspx?wa=wsignout1.0

这将创建一个带有图像标签的页面，这些标签具有针对他们登录的所有依赖方的联合注销请求。

这样做的问题是，由于他们的会话在 STS 提供程序上超时，因此它会将他们踢回登录屏幕。并且不提供依赖方的所有​​联合注销 img 标签的页面。因此，此人保持登录到所有依赖方。

在 STS 的会话不能不确定的情况下，处理联合注销的最佳方法是什么？

我正在遵循Microsoft实施联合身份的指南。因为它没有说明代码应该放在哪里，所以我\App_Code\Auth.cs为它创建了一个文件。当需要FederationResult对我的家庭控制器实施时，我尝试使用上述命名空间，但 VS 抱怨缺少程序集引用。

奇怪的是，其中的代码Auth.cs没有抱怨……我查看了References项目的项目，没有看到任何我能识别的东西，尽管我对项目做了“添加 STS 引用”。我也查看了 NuGet，但没有看到我应该添加的任何内容......

这里发生了什么？

我有一个想要实现声明支持的 MVC3 应用程序。我的目标如下：

1. 提供一个登录链接，单击该链接会显示一个带有用户名/密码和 Facebook/WindowsLive/Google 等链接的弹出窗口

2. 访问受保护的控制器时自动重定向到我的登录页面，例如 /Order/Delete

我已经在 AppFabricLabs.com 中设置了应用程序和提供程序，并将 STS 包含在我的项目中。我还创建了 IAuthorizationFilter 的实现，因此我可以将我的控制器标记为 [WifAuth] 并成功调用 OnAuthorization 方法。我已经实现了访问者未经过身份验证的用例，如下所示：

并使用我的身份提供者选择成功获取 AppFabricLabs 页面（尚未弄清楚如何自定义该页面）。当我登录时，我的 returnUrl 被调用，所以我进入了一个控制器方法 /Home/FederationResult，但是发布给我的表单只包含wa和wresult字段，但我需要wctx知道将用户发送到哪里......我没有能够弄清楚为什么。

wresult是一个 XML 文档，其中包含（在无数其他事物中）登录用户的姓名和电子邮件地址，但遗憾的是不包含用户前往的 url。

我是否未能配置某些东西，或者我只是不在基地？任何人的想法？

• e

我有一个 RP，我使用 ACS 的 Json 提要为其构建了一个登录页面。IP 图像链接到.LoginUrl提要的属性，当我单击其中一张图像时，它会正确跳转到该 IP 的页面。

但是，输入我的凭据后，我被重定向到 appfabriclabs.com 网站上的一个页面，并出现以下错误：

RP 在 App Labs 站点中配置，returnUrl为：

在查看提要中的wreply参数时，我看到：

根据像 [ this one ] 这样的一些 SO 文章，应用程序的返回 url 应该是 wreply 参数的前缀 - 这显然不是这里的情况。

所以……我现在做错了什么？

• e

ps 一个有趣的信息：在 ACS 的应用程序集成页面中，有一个指向 ACS 托管登录页面的链接。那里使用的链接似乎与我在提要中给出的链接不同；特别是，ACS 托管的页面使用以下wctx：

而提要给了我：

所以我不知道那有什么价值，但也许这是出了什么问题的线索。

* 更新 *

解码后，最后一个字符串是：

这清楚地表明 Json 提要提供了 ACS 托管页面中不存在的ry ...对任何人都意味着什么？

我在 appfabriclabs 的 Windows Live、Facebook、Google 和 Yahoo 的 ACS 中为“名称”和“电子邮件地址”声明创建了规则……但是在依赖方方面，WIF 似乎没有看到它们……我看到了nameidentifier，identityprovider但是没有其他的。

我还需要 ACS 中的其他东西来完成这项工作吗？我如何检查索赔是否确实存在？

* 更新 *

显然，只有 Windows Live 失败了。其他提供者将我配置的声明返回给我。此外，电子邮件地址的声明（例如）我手动配置，因为 ACS 没有它...我输入了类型http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress并将其指示为直通... Windows Live 不提供电子邮件地址吗？

* 更新二 *

好吧...根据这篇文章，我不能只配置它；我将不得不做一些其他的巫术来获得它......但必须有一些方法来获得比 /nameidentifier/ 更多的东西，因为当我使用 Windows Live ID 登录网站时，我显示为正在登录作为“ekkis”——有人知道这是怎么做到的吗？