问题标签 [federation]

所以我一直在尝试为我的站点使用 SQL Azure 中的联合。我首先试图找到一种工具，我可以在其中使用完整的图形界面测试我的编码。我无法在 SSMS (SQL Server Management Studio) 中找到编辑前 200 行的上下文菜单。

任何人都可以帮忙吗？

我正在尝试了解基于声明的身份验证和单点登录。与此同时，当我们创建一个在应用程序和身份提供者之间创建信任的步骤时，还有一个选择联合元数据的步骤。我想知道那里的信息是什么。

因此，我试图从网站使用 WCF 服务，并将网站从 STS 获得的 IClaimsIdentity 传递给该服务。

当我尝试通过 ActAs 通道调用服务方法时，我在客户端上收到以下错误（查看跟踪日志，它永远不会到达服务，并且 STS 正确发送所有令牌）：

传出消息的身份检查失败。预期的身份是'身份（ http://schemas.xmlsoap.org/ws/2005/05/identity/right/possessproperty：http://schemas.xmlsoap.org/ws/2005/05/identity/claims/thumbprint )' 用于 'http://localhost/MyWCFHost/MyService.svc' 目标端点。

我有一个自定义的 IssuedTokenForCertificate 绑定，据我所见，所有证书都可以，它应该可以工作，但没有骰子。我很感激另一双眼睛看着我的配置并提供帮助：

使用网站配置：

WCF 服务配置：

我们已经实现了一个在大多数情况下都能正常工作的联合服务器。它依赖于 ws2007HttpBinding 并实现了 UserNameSecurityTokenHandler 的扩展（称为 CustomSecurityTokenHandler）。在我们的局域网上，一切正常。

但是，我们有以下失败的场景：

1) 服务器部署在 Amazon EC2 上，而不是本地 LAN。客户端是连接到服务器的 WPF 应用程序。当客户端安装在工作组内的 pc 上时，连接正常。

2) 但是，当 PC 位于 AD 域时，我们无法连接。这似乎不是由于网络问题：与 EC2 的连接仍然正常，我们确实连接到联邦提供程序，但从未进入 CustomSecurityTokenHandler。

因此，看起来好像服务器已为我们的本地 LAN 正确配置，但是当服务器在某个外部网络上并且客户端从我们的本地域调用时突然卡住了。

配置中可能有某种删除部分要做，但我看不出在哪里。
我已经有了 ：

任何想法都会受到欢迎。

当我尝试从配置了 ADFS 服务器的 openam 运行联合连接测试时，出现以下异常：

HTTP 状态 500 -

类型异常报告

信息

描述 服务器遇到一个内部错误 () 阻止它完成这个请求。

例外

javax.servlet.ServletException：AMSetupFilter.doFilter com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:117) 根本原因

org.apache.jasper.JasperException: java.lang.NullPointerException org.apache.jasper.servlet.JspServletWrapper.handleJspException(JspServletWrapper.java:541) org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:435) org .apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320) org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803 ) com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:91) 根本原因

java.lang.NullPointerException org.apache.jsp.validator_jsp._jspService(validator_jsp.java:424) org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70) javax.servlet.http.HttpServlet.service(HttpServlet .java:803) org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:393) org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320) org.apache.jasper.servlet.JspServlet .service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:91)

我认为由于此异常而陷入困境，并且与 adfs 的连接未建立。所以我应该去做。

任何形式的帮助都会很有用。

谢谢，

请帮我解决这个问题：我正在尝试在 openam 中设置一个 idp 和一个 sp 的联盟。正在使用的数据存储是 ApacheDS。我正在尝试按照以下教程进行相同的操作。

http://fczaja.blogspot.com/2012/06/idp-initiated-sso-and-identity.html

在测试联合连接（来自控制台）期间，我在 openam 日志中收到以下错误* *

这可能意味着 openam 试图使用一些不存在的 LDAP 属性（因为我在 ApacheDS 中创建了最小属性集）。所以我去了 IDP 和 SP 中的数据存储设置，并从 LDAP 用户属性中删除了不可用的属性。现在它给出以下错误：

一些论坛说需要 sun-fm-saml2-nameid-info 和 sun-fm-saml2-nameid-infokey 等属性。但我无法将它们添加到我的数据存储中，因为它们与架构不匹配。此外，我无法将 openam 安装中给出的 LDIF 导入 Apache DS。我有两个问题： 1. 我正朝着正确的方向前进（向 Apache ds 数据存储添加属性会有所帮助）？如果是，我如何在 Apache ds 中推送与 openam 相关的 schmea 项目？2.我在这里完全缺少什么。

I have a SQL Federation with 97 members, i.e. physical shards. Each member has 1-16 virtual shards, i.e. atomic units. This data tier powers a search lookup web service (on an Azure web role web server), which requires all atomic units to respond before it knows enough to answer the user response.

Given the search parameters, the web server is able to determine the atomic unit IDs that it needs to query, but not their associated federation members (I am using USE Federation for this translation). The goal is to have the web server query all atomic units (wherever they are) as quickly as possible.

Currently, the best solution I have for this works as follows:

1. Generate list of needed atomic units.
2. Generate USE Federation and SQL statement for each atomic unit. Currently, the best performance I have found specifies FILTERING = OFF in the USE Federation statement, while manually specifying the predicate for the atomic unit in the SQL statement (rather than relying on FILTERING = ON to add these predicates for me).
3. For each atomic unit, open a SqlConnection to the Federation Root, execute the USE Federation statement, and then the SQL query, both asynchronously. I use the TPL Dataflow library and async/await to wait for all of the atomic unit queries to conclude, after which I apply (optional, depending on what web request it was) business logic to the results and send back the response.

Each atomic unit in these queries will return between 100-600 records, never more than 2000. The design objective is to query at most 200 atomic units at once => so 400,000 records is the maximum amount that the web server will ever need to apply business logic to, although that logic is never more than "get one object of each distinct numerical ID in the result," for which I have implemented IEqualityComparer.

This approach does not seem to scale that well. Even when querying 30-40 atomic units, there is a marked increase in response time, even though I can test and see that individual atomic unit responses each take less than 1 second.

I think likely places for my issues are:

1. Using a separate SqlConnection for each atomic unit query => am I leveraging connection pooling effectively?
2. Business logic and object serialization => should I be approaching the distinct operation across atomic units differently? What if I want to do sum operations on other fields as well (not the default use-case, but a common one).

If anyone has a favorite way of handling this, I would love to hear about it. Thanks.

Current solution:

我们已对 openam 和 adfs 设置进行了所有必要的更改，并使用此链接：https ://wikis.forgerock.org/confluence/display/openam/OpenAM+and+ADFS2+configuration 作为我们的参考，但是当我们测试时我们从 adfs 网络设置我们得到以下异常：

类型异常报告

信息

描述 服务器遇到一个内部错误 () 阻止它完成这个请求。

例外

javax.servlet.ServletException：AMSetupFilter.doFilter com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:117) 根本原因

org.apache.jasper.JasperException：在第 158 行处理 JSP 页面 /saml2/jsp/spAssertionConsumer.jsp 时发生异常

155：se.getMessage（））；156：返回；157：}158：respInfo = SPACSUtils.getResponse（159：请求，响应，组织名称，hostEntityId，metaManager）；160: 161: 字符串 ecpRelayState = respInfo.getRelayState();

堆栈跟踪： org.apache.jasper.servlet.JspServletWrapper.handleJspException(JspServletWrapper.java:524) org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:417) org.apache.jasper.servlet.JspServlet.serviceJspFile( JspServlet.java:320) org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) com.sun.identity.setup.AMSetupFilter。 doFilter(AMSetupFilter.java:91) 根本原因

javax.servlet.ServletException：com.sun.identity.saml2.common.SAML2Exception：java.security.PrivilegedActionException：com.sun.xml.messaging.saaj.SOAPExceptionImpl：消息发送失败org.apache.jasper.runtime.PageContextImpl.doHandlePageException (PageContextImpl.java:850) org.apache.jasper.runtime.PageContextImpl.handlePageException(PageContextImpl.java:779) org.apache.jsp.saml2.jsp.spAssertionConsumer_jsp._jspService(spAssertionConsumer_jsp.java:360) org.apache.jasper .runtime.HttpJspBase.service(HttpJspBase.java:70) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:393) org.apache .jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320) org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266) javax.servlet.http。HttpServlet.service(HttpServlet.java:803) com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:91) 根本原因

com.sun.identity.saml2.common.SAML2Exception：java.security.PrivilegedActionException：com.sun.xml.messaging.saaj.SOAPExceptionImpl：消息发送失败 com.sun.identity.saml2.profile.SPACSUtils.getResponseFromArtifact（SPACSUtils.java :417) com.sun.identity.saml2.profile.SPACSUtils.getResponseFromGet(SPACSUtils.java:282) com.sun.identity.saml2.profile.SPACSUtils.getResponse(SPACSUtils.java:174) org.apache.jsp.saml2 .jsp.spAssertionConsumer_jsp._jspService(spAssertionConsumer_jsp.java:183) org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) org.apache .jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:393) org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320) org.apache.jasper.servlet.JspServlet。service(JspServlet.java:266) javax.servlet.http.HttpServlet.service(HttpServlet.java:803) com.sun.identity.setup.AMSetupFilter.doFilter(AMSetupFilter.java:91) note 根的完整堆栈跟踪原因在 Apache Tomcat/6.0.14 日志中可用。

请任何人都可以帮助我解决此异常，并告诉我设置中的错误是什么以及解决此问题的可能解决方案。

提前致谢，

我在 .NET 4.0 下有一个 WCF 服务，它使用 WIF 3.5 和 ws2007FederationHttpBinding 绑定。目前它作为自托管服务运行（成功），但我希望它在 IIS7.5 下运行。但是我无法让它工作。

我对此没有深入的了解或经验，因此我通过简单地将适用于自托管的配置复制到 web.config 来解决此问题。它们几乎相同，除了behaviors\servicebehaviors\behavior\serviceCredentials\serviceCertificate在 IIS 托管的情况下似乎需要添加，但对于自托管则不需要（我不知道为什么）。两种服务设置的客户端配置也相同（除了端点地址）。测试自托管和 IIS 托管服务发生在同一台机器上，我已经尝试使用 VS 开发服务器、IIS Express 和常规 IIS 来测试 IIS 托管服务。客户端在同一台机器上。STS 在另一台机器上。

涉及 3 个 (x509) 证书。服务的证书和 STS 使用的签名证书，都在自签名根证书下。DefaultAppPool（托管 Web 服务的地方）可以访问这两个证书。据我所知，没有涉及 SSL。

我可以让 IIS 托管服务运行，并且可以请求元数据。当我提出实际请求时会发生错误。客户端错误似乎很笼统：

客户端的 svc 跟踪日志说的几乎相同。

服务器错误不会引发错误，但 svc 日志会显示：

sts.public.example.com 是 STS 的签名证书。我不知道在哪里放置这个 certificateValidationMode 以及为什么它应该与 IIS 不同。

身份模型有一个自定义 issuerNameRegistry 和 claimAuthorizationManager ，服务行为有 serviceAuthorizationManager ，但在错误之前甚至没有一个被击中。因此，当服务器从客户端接收到签名的令牌并且 IIS 本身以某种方式无法验证证书（疯狂的随机猜测）时，可能会发生错误。

我会给你配置文件和代码示例，但是因为我不知道究竟什么是相关的，什么不是，所以这一切都很多，但如果需要任何澄清，我会尽快添加。

我尝试尽可能关闭证书验证和吊销检查，并摆弄了许多我几乎不了解的设置，但毫无结果。这篇文章似乎有片刻的希望，但我真的不知道建议的解决方案适合哪里，并且考虑到它可能不再相关的日期。

如果有人能指出解决方案的方向和/或解释自托管和 IIS 托管服务之间的设置/配置要求的差异，那将非常有帮助。

基本上，我感兴趣的是在多个区域设置 WSO2 API Manager；例如亚洲、美国和欧洲。一些 API 将部署在每个区域的数据中心内，而其他 API 将仅部署在特定区域内。

理想情况下，我想要的是一个单一的 WSO2 API 存储，我可以在其中查看跨所有区域部署的 API（包括仅在特定区域的服务器上可用的 API）。

我不希望 API 用户必须了解每个 API Manager 或其商店才能发现可用的 API。我宁愿他们只知道 API Manager 商店之一（最好是他们所在地区的商店），然后他们可以找到可用的 API 并决定是否要处理使用来自不同地区的 API 的延迟。

因此，当在一个地区使用 API Manager Publisher 发布 API 时，我希望将该 API 信息联合到每个 API Manager Store。

这可能吗？如果是这样，是否存在任何关于如何配置 API 管理器以使用 API 元数据联合的文档？