问题标签 [saml]

我正在尝试将 SAML 断言添加到基于 axis2 引擎的 SOAP Web 服务中。我在思考两者如何互动时遇到了一些麻烦。有人可以帮我指出正确的方向，将 SAML 断言添加到来自 Axis2 的响应消息中吗？

谢谢，汤姆

我的背景：

• .Net RESTful 网络服务
• 客户端（混合平台、技术、库功能）已获得 SAML 令牌
• 尝试接受令牌以在 REST 服务中进行身份验证/授权
  • 在 HTTP Authorization / X-Authorization 标头中
  • 作为查询参数
• 稍后还将支持 SWT，但需要获取 SAML 令牌

细节：

我在字符串中有一个 SAML 令牌：

在 HttpModule 中，我想将其转换为 ClaimsPrincipal 以便我的服务可以将通常的 Thread.CurrentPrincipal 用作 IClaimsPrincipal 的东西。

我发现了几个诱人的页面/博客/等...看起来很有帮助：

• Cibrax 在 HTTP 授权头中传递令牌的想法
• Dominick Baier 对 SWT 做了类似的事情，提到了对 SAML 做同样的事情很容易

我一直试图将 SAML 令牌转换为 ClaimsPrincipal （通过 SecurityToken 中间步骤或直接......无论哪种方式都很高兴）。Cibrax 想法的示例代码将以下内容用于关键的验证和反序列化步骤：

我遇到的障碍是 WIF 的 RTM 版本没有公开 GetSecurityToken 的这种重载......它只公开：

感谢您帮助我摆脱困境！

泰勒

我一直在用谷歌搜索我在尝试将我正在处理的 Web 应用程序与 SharePoint 2010 集成时遇到的问题。

Web 应用程序是一个 wiki 风格的工具，它允许用户通过表单身份验证或针对 Active Directory 的 WIA 登录，并为自己和他人创建内容。

我们想要做的是允许用户拥有一个页面，其中包含他们在我们的 Web 应用程序中创建的内容与他们在 SharePoint 服务器上的内容混合。例如，他们可能希望查看他们在 SharePoint 服务器上的文档列表，这些文档与他们的一些内容混合在一起。

为此，我们希望获取用户登录到我们的 Web 应用程序的凭据（例如 MYDOMAIN\jsmith），并能够在不提示用户的情况下向 SharePoint 查询同一用户 (MYDOMAIN\jsmith) 的文档重新输入他们的凭据以访问 SharePoint 服务器（我们试图避免双跳问题）

我们已经提出了一些我们想要如何做到这一点的选项，但我们不确定最好的方法是什么。

例如，我们可以 - 拥有一个由所有用户共享的全局用户，以从 SharePoint 获取我们需要的信息。缺点是我们无法将 SharePoint 内容过滤到特定用户 - 我们可以在用户登录时存储他们的凭据，但这仅适用于通过表单身份验证的用户，并且会成为一些用户/客户不喜欢的安全问题- 使用 WCF 编写 SharePoint 扩展以允许我们访问我们需要的信息，但是我们仍然有弄清楚如何模拟我们想要的用户的问题。

这些选项都不是理想的，在我们的调查中，我们遇到了 Claims Authentication/STS 选项，它似乎试图解决我们遇到的问题。

所以我的问题是，根据我所写的内容，Claims/STS 对我们来说是最好的方法吗？对于如何使用此方法从 Web 应用程序调用 SharePoint 并传递现有凭据，我们还没有找到太多方向。

有没有人有任何这些问题的经验？

根据教程，我应该去 OpenSSO 并下载一个“快速构建”。但是，OpenSSO 网站上“Express Build 7”的下载链接似乎需要通过具有付费支持合同的帐户登录。

当前如何下载 OpenSSO 战争？

我一直在研究各种示例，以尝试为 ASP.Net Web 服务和 WCF RESTful Web 服务的基于 SAML 令牌的身份验证拼凑一个解决方案......我一直在参考的一些示例：

• http://custombasicauth.codeplex.com/Wikipage
• http://leastprivilege.com/2010/02/15/securing-wcf-data-services-using-wif/
• http://weblogs.asp.net/cibrax/archive/2010/02/17/a-good-way-to-handle-claim-based-security-in-restful-services.aspx
• ETC...

我一直在努力通过每一个路障，我是如此接近我可以品尝到它。得到我的最新块是这样的：

如果我使用常规 WebServiceHostFactory，则会应用自定义授权策略，并且 Thread.CurrentPrincipal 最终会采用我的 HttpModule 为 HttpContext.Current.User 设置的值......但是......如果我使用 WebServiceHost2Factory（即来自 REST Starter Kit）来获得自动帮助端点等...，然后不应用身份验证策略，并且 Thread.CurrentPrincipal 最终成为 RoleProviderPrincipal 的实例，与我在 HttpModule 中设置的 ClaimsPrincipal 没有任何关系......： -(

任何想法，想法如何让 WebServiceHost2Factory 与自定义/覆盖的主体一起玩得很好？

谢谢，

泰勒

我已经实现了一个 Java Servlet 过滤器，它使用 PF 提供的 Java API 使用来自 PingFederate (PF) 服务器的令牌。这使我的应用程序能够在 PF SSO 设置中为服务提供者应用程序提供服务。PingFederates API 允许我做如下简单的事情：

MultiMap 将是令牌属性的映射，如果没有令牌传递给请求参数，则为 null。我现在要做的就是将属性映射到我的应用程序用户模型。agent-config.txt 是 PingFederate 在配置时生成的文件。

不同的客户现在要求类似的 SSO 解决方案，但使用不同的 SAML 实现。

您是否知道一种通用 API，它可以做类似的事情，但能够从多个 SAML 实现中使用令牌？

有谁知道是否可以使用 PFs API 来使用来自其他 SAML 实现（例如 ADFS、OpenSAML）的令牌？

SAML 和使用 OAuth 的联合登录之间有什么区别？如果一家公司想要使用第三方 web 应用程序，但又想要单点登录并成为身份验证机构，那么哪种解决方案更有意义？

应该可以使用 SAML 对任何类型的应用程序的用户进行身份验证（根据规范），但我看到的示例是基于 cookie 的 ASP.NET 网站。

有谁知道为 Win Forms 应用程序（不使用 cookie）验证用户身份的示例？

从已经通过被动 STS 进行身份验证的网站传递现有 SAML 令牌的最佳方式是什么？

我们已经建立了一个身份提供者，它向网站发出被动声明以进行身份​​验证。我们有这个工作。现在我们想将一些 WCF 服务添加到组合中 - 从已经过身份验证的 Web 应用程序的上下文中调用它们。理想情况下，我们只想传递 SAML 令牌而不对其进行任何操作（即添加新的声明/重新签名）。我看到的所有示例都需要 ActAs sts 实现——但这真的有必要吗？对于我们想要实现的目标，这似乎有点臃肿。

我会认为一个简单的实现将引导令牌传递到通道中 - 使用 CreateChannelActingAs 或 CreateChannelWithIssuedToken 机制（并设置 ChannelFactory.Credentials.SupportInteractive = false）来调用具有正确绑定的 WCF 服务（那会是什么？）会有够了。

我们使用Fabrikam示例代码作为参考，但正如我所说，认为这里的 ActAs 功能对于我们想要实现的目标来说太过分了。

我需要为与 Java Web 服务（Glassfish）通信的 WCF 客户端实现 SAML 2.0。我对 SAML 知之甚少，在这里（和其他地方）进行了一些搜索后，我没有找到太多关于如何使用 WCF 实现的信息。由于 WCF 将您从 SOAP 层抽象出来，我如何将 SAML 断言添加到 SOAP 标头？像 ComponentSpace 这样的第 3 方工具效果最好吗？还是我应该自己滚动？其他建议？