问题标签 [geneva-framework]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
geneva-framework - ADFS v2.0 错误:MSIS7042:同一客户端浏览器会话在最后“1”秒内发出“6”个请求
伙计们,我有一个 ASP.NET MVC 应用程序,我正在尝试使用 ADFS v2.0(日内瓦)的候选发布版本来保护它。我已将应用程序配置为依赖方信任,并使用 Fedutil.exe 修改应用程序的 Web.config,以便它具有有关日内瓦服务器的信息并使用日内瓦服务器作为其声明源。
但是,当我尝试点击 MVC 应用程序时,它会重定向到日内瓦,然后(在警告我关于自签名证书之后)再次将我重定向到 MVC 应用程序。在接受两个自签名证书警告后,两台服务器在无限重定向循环中相互打乒乓球,直到日内瓦最终发出以下消息:
同一客户端浏览器会话在最后“1”秒内发出了“6”个请求。可能存在错误的配置。有关详细信息,请联系您的管理员。
除了包含上述消息的事件之外,MVC 端或日内瓦的事件日志中没有错误。如果有人能给我一些关于如何尝试和调试、诊断并希望解决这个问题的信息,我将永远感激不尽。
再次,日内瓦框是 ADFS v2.0 候选版本,ASP.NET MVC 站点是使用最新(09 年末)版本的 Windows Identity Foundation SDK 构建的,其中 Web.config 使用 WIF SDK 中的 FedUtil.exe 修改.
所以你们都会从中得到乐趣……我在 Firefox 中尝试了同样的应用程序,并且……它可以工作。系统提示我输入域凭据,ADFS v2 服务器将我重定向一次,然后我最终进入我的应用程序主页,并附有我的帐户名和个性化问候语。所以现在真正的问题是:为什么 IE8 会陷入无限重定向循环而 Firefox 不是?经过进一步的测试,我已经能够让这个场景开箱即用,无需修改来自 Safari 和 Firefox 上的 ADFS v2 (RC) 或 WIF (RTW) 的任何默认管道内容。IE8 是唯一一个在处理这种身份验证场景时出现任何问题的浏览器。我已经尝试了一切,包括安装和信任自签名证书,
wcf - 将活动依赖方 STS 配置为信任多个身份提供者 STS
我正在为以下场景的配置而苦苦挣扎。
- 我有一个自定义 WCF/WIF STS (RP-STS),它为我的 WCF 服务提供安全令牌
- RP-STS 是“主动”STS
- RP-STS 充当索赔转换 STS
- RP-STS 信任来自许多特定于客户的身份提供商 STS (IdP-STS) 的令牌
- 当 WCF 客户端连接到服务时,它应该使用其本地 IdP-STS 进行身份验证
我所做的阅读将其描述为 Home Realm Discovery。HRD 通常在 Web 应用程序和被动 STS 的上下文中进行描述。我的问题是,就我的情况而言,选择 IdP-STS 端点的逻辑是否属于 RP-STS 或 WCF 客户端应用程序?
我认为它属于 RP-STS,但我无法弄清楚实现这一点的配置。RP-STS 有一个端点,但我不知道如何为每个端点添加多个受信任的颁发者。
任何有关这方面的指导将不胜感激(我没有对 Google 有用的关键字。)另外,如果我还不行,请提供替代方法。
asp.net - SAML 2.0 和 ADFS 2.0 需要帮助!
在尝试学习 ADFS 2.0 环境时,我使用 Visual Studio 2010 创建了一个空的 ASP.NET Claims 感知应用程序作为 RP。
使用 ADFS 2.0 我做了以下事情:
- 使用“添加信赖方信任...”向导创建了 SAML 2.0 信赖方
- 使用“添加声明提供者信任...”向导创建了 SAML 2.0 声明提供者
现在我做了以下步骤:
- 将浏览器指向http://localhost/adfs/IdpInitiatedSignOn.aspx
- 从组合框中选择步骤 1 中定义的 RP 作为要登录的站点。
- 在下一页中,从组合框中选择步骤 2 中定义的 IDP 作为身份验证站点。
- 点击“继续登录”
现在,ADFS 2.0 将我重定向到为 IDP 配置的 URL,并将 SAMLRequest 附加到请求。(这很棒)
但是,到达 IDP 的 SAML 请求不包含任何 ACS URL(更详细地说,没有“AssertionConsumerServiceURL”的 XML 节点),
ACS URL 不是 SAML 请求中的强制属性吗?
谢谢 !约阿什
.net - Is Azure Access Control and WIF suitable when some of the relying parties might not be .Net based
We currently have a few .Net applications on different domains with separate membership on each. We are moving to a federated login with single sign-on (and hopefully single sign-off) and a centralised membership hosted on Azure.
The natural choice to us seemed to be creating our own Identity Provider for Azure's Access Control which all of our sites would authenticate with WIF but there might be the possibility of non .Net sites having to authenticate with this in the future.
Is this still an acceptable route to take?
azure - Azure/web-farm 就绪 SecurityTokenCache
我们的网站使用 ADFS 进行身份验证。为了减少每个请求的 cookie 有效负载,我们打开了 IsSessionMode(请参阅Your fedauth cookies on a diet)。
为了在负载平衡环境中正常工作,我们需要做的最后一件事是实现一个场就绪的 SecurityTokenCache。实现看起来很简单,我主要想知道在处理 SecurityTokenCacheKey 以及 TryGetAllEntries 和 TryRemoveAllEntries 方法时是否应该考虑任何陷阱(SecurityTokenCacheKey 具有 Equals 和 GetHashCode 方法的自定义实现)。
有没有人有这方面的例子?我们计划使用 AppFabric 作为后备存储,但使用任何持久存储的示例都会有所帮助 - 数据库表、Azure 表存储等。
以下是我搜索过的一些地方:
- 在Hervey Wilson 的 PDC09 会话中,他使用了 DatabaseSecurityTokenCache。我无法找到他的会话的示例代码。
- 在 Vittorio Bertocci 的优秀著作“Programming Windows Identity Foundation”的第 192 页上,他提到将 Azure 就绪的 SecurityTokenCache 的示例实现上传到该书的网站。我也找不到这个样本。
谢谢!
京东
2012 年3 月 16 日更新 Vittorio 的博客链接到使用新的 .net 4.5 内容的示例:
ClaimsAwareWebFarm 这个示例是对我们从你们中的许多人那里得到的反馈的回答:您想要一个显示农场就绪会话缓存(而不是 tokenreplycache)的示例,以便您可以通过引用使用会话而不是交换大 cookie;你要求一种更简单的方法来保护农场中的 cookie。
asp.net - Web 场方案中的依赖方 (IsSessionMode = true)
首先,我必须设置IsSessionMode = true以减小 cookie 大小
我需要平衡 2 个 RP 实例我在 2 台具有 RP 实例的不同机器上执行了以下步骤:
1) 订阅ServiceConfigurationCreated 事件
2) 带走会话到asp.net 状态服务
问题:
当我尝试登录 STS 时,我得到从 RP 到 STS 的无限重定向
我不明白为什么。令牌存储在 session(IsSessionMode = true) 中。会话由 asp.net 状态服务在 2 个不同的主机之间共享。
问题是什么?我错过了什么?
我想我不明白一些重要的事情。
authentication - 有人解释日内瓦框架和 WIF
我很笨,不知道这两个框架提供了什么。我想转向基于声明的身份验证,但不明白这两个框架为我提供了什么。这两者是提供相同的功能只是名称不同还是有目的?
是否有关于 SO 的问题可以帮助我开始将现有表单身份验证应用程序移植到“基于声明的身份验证”?
非常感谢您的回答
c# - 来自 STS 的 RequestSecurityToken 并将其发布到我的网站
我的网站实现了基于 AD FS 的身份验证。现在我需要通过客户端以编程方式访问我的网站。我的客户端应该使用当前登录的用户上下文从 ADFS 服务器请求安全令牌。我已经成功地adfs/services/trust/13/usernamemixed
使用客户端的用户名和密码从端点请求安全令牌并将其发布到我的网站。
对我不起作用的是adfs/services/trust/13/windowsmixed
使用DefaultNetworkCredentials
. 我得到错误The HTTP request was forbidden with client authentication scheme 'Anonymous'.
。我正在使用Microsoft.IdentityModel
SDK(而不是System.IdentityModel
在 .NET 4.5 中)。
这是我的代码片段。
我对 ADFS 服务器没有任何控制权,也无法从那里调试出了什么问题。我能做的只是来自客户端。知道我上面的代码出了什么问题吗?非常感谢任何帮助或指示。
wif - 在 RequestSecurityToken (RST) 中发送附加信息时应该使用哪个属性
有几个属性似乎允许这样做:
属性(这是一个字典) AdditionalContext 和 Context...
我找不到任何最适合使用的指导方针......
我基本上需要令牌的请求者向我提供“外部用户 ID”,而我正在构建的 STS 会将其作为声明包含在响应 (RSTR) 中。