问题标签 [federated-identity]

简短说明：SAML-P 2.0 中是否有“whr”等价物？

LONG：我们正在使用 ADFS 2.0 实施 Federated Provider 安全令牌服务。

我们的回复方之一将需要 SAML 2.0 协议。ADFS 支持 SAML-P 2.0，但我不确定要告诉依赖方在 SAML 请求中指定什么以将请求转发给正确的身份提供者。

使用 WS-Federation 时，您只需将“whr”属性附加到请求查询字符串，它将使用该值进行重定向。SAML-P 是否有等价物？

我认为这个问题的解决方案会出现在我身上，因为我已经坐在这个问题上好几个月了——但我的大脑并没有标记出明显的最佳方法。

我有两个控制器方法说“编辑”，它们受一个导致对 STS 的被动身份验证的操作过滤器的保护。

问题是，mvc 接收到 SignInResponseMessage，然后触发 HttpPost，这不是我想要的……任何人都解决了这个问题并觉得他们有一个很好的解决方案？

我想如果最坏的情况变得更糟，我可以唯一地命名我所有的操作方法，即好的旧 mvc1 Edit() vs Update() / New() vs Create() 等。

是否可以使用现有的 AD 用户在 ruby​​ on rails 应用程序中对他们进行身份验证？更准确地说，这是目前的情况。

rails 应用程序托管在 linux 机器上。目前 Brightbox 被用作托管服务提供商。rails 应用程序中只有内置的用户身份验证，我看不到让应用程序了解连接的 AD 用户的方法。

现在有一个相当大的客户，拥有数百个 Active Directory 用户。显然，他们希望让他们的用户登录而不为每个用户创建一个 rails 应用程序帐户。所有已知的身份提供者（OpenId、Google、Facebook ......）都别无选择。

我唯一能找到的就是微软的 ADFS2。但它看起来在 Rails 世界中并不真正可用。但这正是需要的。一种在 AD 和我的应用程序之间建立信任以信任外部 AD 用户的方法。

有任何想法吗？

我正在研究联合身份验证的概念证明。

我创建了一个自定义 STS（基本上是对 Windows Identity Foundation Basic STS 示例的重写）并设置了依赖方以成功使用它。

PoC 的下一阶段是使用 Azure ACS 允许使用 Google/LiveID/etc 凭据以及自定义 STS 提供的凭据进行联合登录。

一切正常，除了我无法让 Azure ACS 接受来自自定义 STS 的令牌。

给出的错误是：

现在，对我来说，这看起来 ACS 无法从自定义 STS 解密 SAML 令牌，但安装在 Azure ACS 中的唯一解密证书是用于签名和加密自定义 STS 响应令牌的证书。

我在这里想念什么？

我们有一个 ADFS 2.0 安装，它适用于我们各种环境中的 MVC 应用程序。我相信它使用“被动身份验证”（我仍在习惯正确的术语） - 如果用户未登录，它肯定会将用户重定向到我们的 adfs 代理，并且 adfs 将用户重定向回我们的 MVC 应用程序一旦他们登录。

我们现在开始公开一些安全的 Web 服务，并希望利用相同的身份验证系统。我的理解是我想ws2007FederationHttpBinding用作我的绑定来执行此操作。我相信我已经为此设置了我的 WCF 的 web.config，但我现在的斗争集中在该FederationMetadata.xml文件上。

查看这个文件，我看到了一些明显需要更改的内容，例如entityID="http://localhost/UserServices"证书。然后有些东西我不知道它们是什么以及它们是否需要更改，例如EntityDescriptor ID="_2b510fe8-98b8......and <ds:SignatureValue>CZe5mEu19/bDNoZrY8f6C559CJ.......。

我在哪里可以更好地了解我应该如何为我的各种环境管理这个文件？我有以下环境托管这些服务，我们将以一种或另一种方式部署这些服务：

1. 个人开发者工作站（现在是 3x，以后会更多）
2. 一个共享的开发环境，供人们针对这些服务编写应用程序但不一定要修改服务
3. 质量保证
4. 分期
5. 生产（具有不同证书/域/等的 3 个不同环境）

因此，我们有一个相当简化的流程来管理不同环境中的 web.config 文件，使用转换和查找/替换某些令牌，所以我想对这个 xml 文件做同样的事情。因此，最终，我所寻求的只是了解在FederationMetadata.xml为我的各种环境管理此文件时需要进行哪些更改。

我当前的 FederationMetadata.base.xml 文件在下面，我相信这是正确的（我只需要名称/角色），我只需要智能地替换各种标记，例如~RootServiceUrlTokenToReplace~，在这里：

我们目前有一个系统，我们的每个用户都有一个数据库。我们现在正在转向一个数据库多租户模式，因此一个数据库可以容纳许多客户。

几个问题：

1. 是否存在多租户转换工具？或者它只是创建一个Tenant表并将一个添加TenantID到每个其他表的过程？

2. 有没有一种简单的方法来实现多租户，而无需重构与数据库通信的代码？

   我们有一个Odata.svc可以与数据库进行所有对话（我们的前端客户端范围从 .net 前端到 iOS 设备）。我阅读了一些关于使用 Federation 对tenantID谓词执行过滤的信息，因此根本不需要更改代码。这可能吗？

3. 数据库中应该有多少租户有推荐的限制吗？

我收集这是一个愚蠢的问题（一根绳子有多长）。我们很可能会在 Azure 上托管最终解决方案。

期待任何人能给我的任何建议。我们正在对我们的流程进行根本性的改变，所以我想在我们处于它之下之前处于它之上。

我正在尝试让 simplesamlphp 1.8 使用 ADFS 2 作为 IdP。

现在我在获取浏览器 NTLM 身份验证对话框时严重卡住了，该对话框不接受任何登录（在选择“测试身份验证源”->“默认-sp”之后）。

在 config/config.php

在 metadata/saml20-idp-remote.php （从https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml与 /admin/metadata-converter.php 转换）

在 ADFS 声明规则中，我有“允许所有用户访问”和转换规则“电子邮件地址 - > 名称 ID”

任何想法如何进行？

我刚开始尝试编写一个联合声明提供程序，我使用http://claimsid.codeplex.com/示例作为我的模板。所以我启动 VS2010 开始我自己的项目，我注意到的第一件事是有一个 System.IdentityModel 以及 Microsoft.IdentityModel。这通常发生在将东西添加到 .Net 框架成为“主流”时。

这是这里的情况吗？

我应该使用哪一个？

关于被动联合，我想知道从 STS 到依赖方的安全令牌传输是如何工作的。在几乎每一篇关于 Windows Identity Foundation 和被动联合的文章中，都说浏览器重定向（顺便说一下，是 30 倍的 http 代码吗？）和 cookie 是唯一使用的“工具”。但是：当 STS 将令牌存储在 cookie 中，然后将浏览器重定向到依赖方时，依赖方怎么可能读取到这个 cookie？是不是有类似 cookie 的同源策略（就像 javascript 一样）？cookie (STS) 的发布者是依赖方之外的另一个地址/源/域，仍然允许依赖方访问这个“外国”cookie，还是在后台有一些魔法使这成为可能？

谢谢

我们正在研究 Microsoft ASP .NET（带有 Windows 身份基础的 WS-Federation）与 WSO2 身份服务器的互操作性。我在 14 周前在论坛上发布了这个问题（http://wso2.org/forum/thread/14221），但还没有得到任何回复。如果我能获得一些关于如何使用 WS-Federation 协议（Windows 身份基础）为基于声明的安全模型配置被动 STS 到 ASP .NET 客户端的指导，我将不胜感激。在我们上次的调查会议中，我们发现巨石阵项目 ( http://incubator.apache.org/stonehenge/ ) 是最接近我们想要实现的示例，但身份服务器版本 3.2.0 缺少我希望的被动 STS 功能已添加回版本 3.2.2。

Q1 - 您能否确认 WSO2 身份服务器是否完全支持 WS-Federation 协议？（如果是，请提供相关文件，如果不是，请建议 Microsoft 身份基础互操作性的最佳替代方案）

Q2 - 您能否提供有关如何在使用 Windows Identity Foundation (WIF) 的 ASP .NET 应用程序上下文中使用被动 STS 功能的指导和示例？

Q3-如何管理要在 ASP .NET 应用程序中使用的身份服务器中的声明？