问题标签 [sts-securitytokenservice]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
wcf-security - 实现基于声明的安全性 (WCF/ASP.NET)
在研究了基于声明的安全(或联合安全模型)的主题之后。我遇到过许多使用CardSpace作为示例的示例。我读到的主要文章对这个主题给出了很好的解释,它是Microsoft 在一个名为Zermatt的框架上编写的PDF。
我正在研究的基于声明的安全架构相当于实现STS身份验证代理和 STS 授权代理。这样,当我创建一个新服务时,我需要做的就是确保该服务只接受授权代理发出的声明。正如文章中所指出的,授权代理将只接受身份验证代理发出的声明。
设置完成后,任何时候客户端尝试使用新服务,它都必须通过Authentication Broker 进行身份验证(发出经过身份验证的声明),然后通过 Authorization Broker 获得授权(发出经过授权的声明)。
这一切都很好,而且架构很清晰,但我不知道如何实现 STS。正如我所提到的,网络上的大多数(如果不是全部)示例都展示了如何使用 CardSpace,但是当您有一个数据库备份您的身份验证方案时,这并不完全有效。
示例场景
替代文字 http://img512.imageshack.us/img512/8329/claimsbasedsecurityza6.jpg
web-services - 使用 WS 网关和 LDAP 向 Web 服务提供 AAA 的最优雅、最有效的方法是什么?
我正在寻找向 Web 服务提供授权、身份验证和审计的最佳方式。我将使用部署到 DMZ 的 Web 服务网关设备,并且将有一个 LDAP 实例作为防火墙后面的用户存储。应该如何建造?
干杯
K A
更新 正如在下面的答案中指出的那样,LDAP 不是审计的理想选择。我们现在正在考虑调用我们的 CRM 系统来实现此功能,因为我们可以审核客户的使用情况。
java - 使用 WS-Trust 与 Axis2 进行 WCF 互操作
我们正在尝试使用从 STS 发出的 SAML 令牌让 WCF 和 Java 相互通信。尽管双方都符合标准,WS-Security、WS-Trust、WS-Policy 等,但它们似乎并不相互交流,并且其中一方会抛出神秘异常或忽略安全标头.
我们在 MS 端使用 .NET 3.5、WCF 联合绑定,在 java 端使用 Axis2/Rampart/Rahas。
有没有人能够完成这项工作?
c# - WCF STS 令牌过期问题
我有一个受 Secure Conversation 保护的 WCF 服务 (FooService)。还有一个 STS (StsService),它为调用 FooService 的客户端提供令牌。代币有效期为 15 分钟。STS 是定制的(没有日内瓦)。客户端还具有一些自定义 WCF 扩展,以允许在客户端的生命周期内跨多个服务重用令牌。
当调用 FooService 通道上的“打开”时,客户端从 STS 请求令牌。STS 工作正常,发出令牌并向客户端提供有效的 RSTR。客户端接收反序列化的令牌(作为GenericXmlSecurityToken
对象)。
问题:
当客户端收到GenericXmlSecurityToken
实例时,到期日期设置不正确。在 RSTR 中,有一个 SAML 标记<saml:Conditions>
具有有效的到期日期,但由于某种原因,WCF 似乎没有解析标记并使用NotOnOrAfter
.
这是 STS(服务器端)的绑定:
这是客户端绑定:
我已经尝试了几件事来获得正确的到期日期来显示......但似乎没有任何效果。尝试实现自定义序列化程序。找不到任何痕迹<saml:Conditions>
。还尝试直接调用 STS,然后将令牌提供回 WCF。该解决方案有效,直接调用 STS 并将响应反序列化为有效的 SecurityToken,但是当它被提供回 WCF 时,通道上的“打开”调用在 2 分钟后超时。没有错误消息,跟踪日志中没有任何内容......
在客户端,令牌具有 SAML 断言。如果我看:((GenericXmlSecurityToken)token).TokenXml.InnerXml
,这就是我所看到的:
甚至尝试单步执行 .NET Framework 源代码,但无法在 Windows 7 上使用 VS 2008 SP1 执行此操作。不起作用!精氨酸!
有任何想法吗?
sql-server - 在日内瓦使用 SQL Account Store
日内瓦让我很热,也很烦恼,因为我有可能解决客户向我们提出的复杂的身份验证和 SSO 问题。我了解日内瓦支持自定义和基于 SQL 的属性存储。但是,我需要支持自定义和基于 SQL 的帐户存储。
不幸的是,除了Beta 2 不支持它之外,我找不到任何可靠的确认或否认(第 23 页)在它发布时将支持它。这给了我希望,但我应该知道得更好。
问题:任何人都可以明确解决这个问题吗?
identity - Finding STS providers for Windows Identity Foundation
I've had a very brief look at Windows Identity Foundation (WIF) and it looks to me like I could say that my site is going to accept logins from other sites. e.g. anyone with a gmail or LiveID account will be able to post comments on a thread in my application. When the post comment button is clicked the user is redirected to a provider and they log in there, after which they are authorized on my site to post.
How can I find out who offers the STS mechanism and what the URL is to feed into WIF?
I've found the LiveID through a bit of googling but if I wanted to find the Facebook service, or Yahoo etc how do I go about it? Searching for STS providers and its various incantations isn't turning up too much.
Many thanks
The beta has been released fairly recently which includes a few STS providers for things like google and facebook for anyone that views this later
.net - 让 WIF 与 OpenSSO 作为 STS 一起工作
使用 OpenSSO 作为身份提供者,我应该怎么做(即使用 FedUtil.exe)来配置我的 .NET 依赖方,以便它能够进行 STS 舞蹈?
我已经让 OpenSSO 的 WS-Trust 客户端示例运行起来,所以我认为 OSSO 处于良好状态并为下一步做好了准备。
我在 FedUtil.exe 的“使用现有的 STS”墙上。我在哪里可以获得 OpenSSO 的 STS WS-Federation 元数据文档?我试过了:
- the.osso.server:port/opensso/sts
- the.osso.server:port/opensso/sts?wsdl
- the.osso.server:port/opensso/sts/mex
- the.osso.server:port/opensso/sts/mex?wsdl
- the.osso.server:port/opensso/sts/soap11
- the.osso.server:port/opensso/sts/soap11?wsdl
没有运气。
谢谢你的帮助,
泰勒
wcf - 将活动依赖方 STS 配置为信任多个身份提供者 STS
我正在为以下场景的配置而苦苦挣扎。
- 我有一个自定义 WCF/WIF STS (RP-STS),它为我的 WCF 服务提供安全令牌
- RP-STS 是“主动”STS
- RP-STS 充当索赔转换 STS
- RP-STS 信任来自许多特定于客户的身份提供商 STS (IdP-STS) 的令牌
- 当 WCF 客户端连接到服务时,它应该使用其本地 IdP-STS 进行身份验证
我所做的阅读将其描述为 Home Realm Discovery。HRD 通常在 Web 应用程序和被动 STS 的上下文中进行描述。我的问题是,就我的情况而言,选择 IdP-STS 端点的逻辑是否属于 RP-STS 或 WCF 客户端应用程序?
我认为它属于 RP-STS,但我无法弄清楚实现这一点的配置。RP-STS 有一个端点,但我不知道如何为每个端点添加多个受信任的颁发者。
任何有关这方面的指导将不胜感激(我没有对 Google 有用的关键字。)另外,如果我还不行,请提供替代方法。
wif - 为什么 Web 客户端在使用 WIF 时需要 Passive STS
我有一个 Web 应用程序,并希望使用 Windows Identity Foundation 3.5 使用自定义 STS 对其进行保护。所有示例在场景中都有被动 STS。为什么需要这个?如果您直接调用使用 WIF 编写的 Active STS 9Custom,会发生什么情况?
.net - 联邦身份验证令牌保存在哪里 [WIF STS]?
当我开始探索 WIF 时,我对以下几点有疑问:
在 Windows 标识基础 [WIF] 中,查看安全令牌服务 [STS],我想知道联合身份验证令牌保存在哪里?
我认为它在浏览器 cookie 中,如果是这样,任何人都可以给我一个关于它的见解吗?