问题标签 [sts-securitytokenservice]

在研究了基于声明的安全（或联合安全模型）的主题之后。我遇到过许多使用CardSpace作为示例的示例。我读到的主要文章对这个主题给出了很好的解释，它是Microsoft 在一个名为Zermatt的框架上编写的PDF。

我正在研究的基于声明的安全架构相当于实现STS身份验证代理和 STS 授权代理。这样，当我创建一个新服务时，我需要做的就是确保该服务只接受授权代理发出的声明。正如文章中所指出的，授权代理将只接受身份验证代理发出的声明。

设置完成后，任何时候客户端尝试使用新服务，它都必须通过Authentication Broker 进行身份验证（发出经过身份验证的声明），然后通过 Authorization Broker 获得授权（发出经过授权的声明）。

这一切都很好，而且架构很清晰，但我不知道如何实现 STS。正如我所提到的，网络上的大多数（如果不是全部）示例都展示了如何使用 CardSpace，但是当您有一个数据库备份您的身份验证方案时，这并不完全有效。

示例场景

替代文字 http://img512.imageshack.us/img512/8329/claimsbasedsecurityza6.jpg

我正在寻找向 Web 服务提供授权、身份验证和审计的最佳方式。我将使用部署到 DMZ 的 Web 服务网关设备，并且将有一个 LDAP 实例作为防火墙后面的用户存储。应该如何建造？

干杯

K A

更新 正如在下面的答案中指出的那样，LDAP 不是审计的理想选择。我们现在正在考虑调用我们的 CRM 系统来实现此功能，因为我们可以审核客户的使用情况。

我们正在尝试使用从 STS 发出的 SAML 令牌让 WCF 和 Java 相互通信。尽管双方都符合标准，WS-Security、WS-Trust、WS-Policy 等，但它们似乎并不相互交流，并且其中一方会抛出神秘异常或忽略安全标头.

我们在 MS 端使用 .NET 3.5、WCF 联合绑定，在 java 端使用 Axis2/Rampart/Rahas。

有没有人能够完成这项工作？

我有一个受 Secure Conversation 保护的 WCF 服务 (FooService)。还有一个 STS (StsService)，它为调用 FooService 的客户端提供令牌。代币有效期为 15 分钟。STS 是定制的（没有日内瓦）。客户端还具有一些自定义 WCF 扩展，以允许在客户端的生命周期内跨多个服务重用令牌。

当调用 FooService 通道上的“打开”时，客户端从 STS 请求令牌。STS 工作正常，发出令牌并向客户端提供有效的 RSTR。客户端接收反序列化的令牌（作为GenericXmlSecurityToken对象）。

问题：

当客户端收到GenericXmlSecurityToken实例时，到期日期设置不正确。在 RSTR 中，有一个 SAML 标记<saml:Conditions>具有有效的到期日期，但由于某种原因，WCF 似乎没有解析标记并使用NotOnOrAfter.

这是 STS（服务器端）的绑定：

这是客户端绑定：

我已经尝试了几件事来获得正确的到期日期来显示......但似乎没有任何效果。尝试实现自定义序列化程序。找不到任何痕迹<saml:Conditions>。还尝试直接调用 STS，然后将令牌提供回 WCF。该解决方案有效，直接调用 STS 并将响应反序列化为有效的 SecurityToken，但是当它被提供回 WCF 时，通道上的“打开”调用在 2 分钟后超时。没有错误消息，跟踪日志中没有任何内容......

在客户端，令牌具有 SAML 断言。如果我看：((GenericXmlSecurityToken)token).TokenXml.InnerXml，这就是我所看到的：

甚至尝试单步执行 .NET Framework 源代码，但无法在 Windows 7 上使用 VS 2008 SP1 执行此操作。不起作用！精氨酸！

有任何想法吗？

日内瓦让我很热，也很烦恼，因为我有可能解决客户向我们提出的复杂的身份验证和 SSO 问题。我了解日内瓦支持自定义和基于 SQL 的属性存储。但是，我需要支持自定义和基于 SQL 的帐户存储。

不幸的是，除了Beta 2 不支持它之外，我找不到任何可靠的确认或否认（第 23 页）在它发布时将支持它。这给了我希望，但我应该知道得更好。

问题：任何人都可以明确解决这个问题吗？

I've had a very brief look at Windows Identity Foundation (WIF) and it looks to me like I could say that my site is going to accept logins from other sites. e.g. anyone with a gmail or LiveID account will be able to post comments on a thread in my application. When the post comment button is clicked the user is redirected to a provider and they log in there, after which they are authorized on my site to post.

How can I find out who offers the STS mechanism and what the URL is to feed into WIF?

I've found the LiveID through a bit of googling but if I wanted to find the Facebook service, or Yahoo etc how do I go about it? Searching for STS providers and its various incantations isn't turning up too much.

Many thanks

The beta has been released fairly recently which includes a few STS providers for things like google and facebook for anyone that views this later

使用 OpenSSO 作为身份提供者，我应该怎么做（即使用 FedUtil.exe）来配置我的 .NET 依赖方，以便它能够进行 STS 舞蹈？

我已经让 OpenSSO 的 WS-Trust 客户端示例运行起来，所以我认为 OSSO 处于良好状态并为下一步做好了准备。

我在 FedUtil.exe 的“使用现有的 STS”墙上。我在哪里可以获得 OpenSSO 的 STS WS-Federation 元数据文档？我试过了：

• the.osso.server:port/opensso/sts
• the.osso.server:port/opensso/sts?wsdl
• the.osso.server:port/opensso/sts/mex
• the.osso.server:port/opensso/sts/mex?wsdl
• the.osso.server:port/opensso/sts/soap11
• the.osso.server:port/opensso/sts/soap11?wsdl

没有运气。

谢谢你的帮助，

泰勒

我正在为以下场景的配置而苦苦挣扎。

• 我有一个自定义 WCF/WIF STS (RP-STS)，它为我的 WCF 服务提供安全令牌
• RP-STS 是“主动”STS
• RP-STS 充当索赔转换 STS
• RP-STS 信任来自许多特定于客户的身份提供商 STS (IdP-STS) 的令牌
• 当 WCF 客户端连接到服务时，它应该使用其本地 IdP-STS 进行身份验证

我所做的阅读将其描述为 Home Realm Discovery。HRD 通常在 Web 应用程序和被动 STS 的上下文中进行描述。我的问题是，就我的情况而言，选择 IdP-STS 端点的逻辑是否属于 RP-STS 或 WCF 客户端应用程序？

我认为它属于 RP-STS，但我无法弄清楚实现这一点的配置。RP-STS 有一个端点，但我不知道如何为每个端点添加多个受信任的颁发者。

任何有关这方面的指导将不胜感激（我没有对 Google 有用的关键字。）另外，如果我还不行，请提供替代方法。

_{（来源：marshaledthoughts.com）}

我有一个 Web 应用程序，并希望使用 Windows Identity Foundation 3.5 使用自定义 STS 对其进行保护。所有示例在场景中都有被动 STS。为什么需要这个？如果您直接调用使用 WIF 编写的 Active STS 9Custom，会发生什么情况？

当我开始探索 WIF 时，我对以下几点有疑问：

在 Windows 标识基础 [WIF] 中，查看安全令牌服务 [STS]，我想知道联合身份验证令牌保存在哪里？

我认为它在浏览器 cookie 中，如果是这样，任何人都可以给我一个关于它的见解吗？