问题标签 [sts-securitytokenservice]

我正在使用 Thinktecture.IdentityServer (OnPremise) .NET 4.5 版本。我需要一些帮助来调试配置问题。当我尝试访问我的 OAuth 端点时，我得到一个

“HTTP 错误 500.19 - 内部服务器错误无法访问请求的页面，因为该页面的相关配置数据无效。”

这是配置错误：

此配置部分不能在此路径中使用。当该部分锁定在父级别时会发生这种情况。锁定是默认情况下 (overrideModeDefault="Deny") 或由具有 overrideMode="Deny" 或旧 allowOverride="false" 的位置标记显式设置的。

web.config 中问题区域的配置源是：

我不确定如何前进。我试过这个解决方案： http: //blog.thinkoriginally.com/2010/02/17/asp-net-config-error-this-configuration-section-cannot-be-used-at-this-path/但没有成功

我的应用程序即时创建虚拟目录以及在这些虚拟目录中运行的启用 STS 的 Web 应用程序的应用程序池。应用程序池在 ApplicationPoolIdentity 帐户 (IIS APPPOOL\MyAppPool) 下运行。而且我一直在尝试找出以编程方式授予对已安装证书的访问权限的方法。

我的第一种方法是使用批处理文件执行 WinHttpCertCfg。但是，此方法仅适用于已“激活”的应用程序池帐户。通过“激活”，我的意思是我至少浏览过一次新应用程序。直到发生这种情况 - WinHttpCertCfg 总是返回消息“句柄无效”。

我尝试的下一个方法是基于从这里获得的解决方案。此解决方案的工作原理是，当我在 MMC 中浏览证书并选择“管理证书密钥”时，会列出应用程序池帐户。即使我运行 WinHttpCertCfg 来列出具有访问权限的帐户 - 也会列出新的应用程序池。

但毕竟......当我浏览 Web 应用程序时，我仍然得到“keyset 不存在”。

我现在的重点是修复第二种方法。这是我对原始代码的修改

我在我的 CRM 实例上配置了基于声明的身份验证。我正在使用自定义 STS（此处提供示例） 现在我想从一些测试应用程序访问 Web 服务。有没有人有这方面的例子？在 Windows 身份验证的情况下，我尝试使用相同的代码进行连接。但是，当然，不成功。我收到一个错误：

{“在配置的安全令牌服务上找不到身份验证端点 Kerberos！”}

这是连接代码（用于 AD 身份验证类型）：

我在某处发现基于声明的身份验证足以仅发送 UPN（用户主体名称）。但同样的错误也会发生。我也尝试过使用用户名/密码组合，但没有成功。

...

...

之后的错误是：The authentication endpoint Username was not found on the configured Secure Token Service!

在Thinktecture.IdentityModel.45库中，我可以Microsoft.IdentityModel.Claims.ClaimsIdentityCollection通过执行以下操作来获得：

我们有一个系统，用户可以在其中登录，然后选择他们所属的组织环境。每个上下文都应该代表令牌中可用的内容（每个组织的一个身份和一组特定声明）。如何让Thinktecture.IdentityServer.45返回包含多个身份的令牌？

谁能告诉我这个错误是什么意思？
我刚开始从使用 WIF 构建的 STS 中获取它，但找不到任何文档。

我正在使用 WIF 设置 STS，它将支持主动和被动联合。

将有多种服务使用 STS 作为依赖方。

我想知道场景是如何工作的，并且在一个服务（例如 RelyingParty1）是另一个服务的客户端（例如 RelyingParty2）的情况下实现，其中 RelyingParty1 的客户端（自然人/用户）通过 STS/Idp 用户名和登录名进行身份验证而 RelyingParty1 想要使用 RelyingParty2。

RP2 是否完全与 STS 通信，或者是从 RP1 传递到 RP2 的有效令牌？这需要特定的配置吗？

如果 RP2 可以/确实与 STS 通信以验证令牌/身份验证（SSO 不是必需的，因此可能需要每次检查）STS 如何知道将 RP1 的物理用户用作 IClaimsIdentity/IClaimsPrincipal 而不是 RP1 的用户正在运行吗？

我希望客户端连接到 STS 以获取 SAML 令牌并使用它对服务进行自我身份验证，但我希望令牌包含比标准 SAML 令牌更多的信息，我还想避免使用传输级别安全性. 从某种意义上说，它与具有会话密钥的 kerberos 票证非常相似

这可能吗？

我正在使用 Axis2 和壁垒编写客户端和服务 我也将控制的第三方身份验证器将向客户端发出令牌，客户端将在该令牌中发送到服务问题是我不知道如何验证此令牌，我被告知它超出了 SAML 的范围有没有办法在不联系第三方身份验证器或不使用公钥的情况下验证令牌

任何帮助是极大的赞赏

我正在阅读 AWS STS 页面，该页面描述了 AWS STS 如何帮助避免在应用程序中保存 AWS 凭证，以及它最终的方式——在我看来——是它通过拥有一个 TVM IAM 账户来解决问题，但不幸的是留下了问题'在没有任何答案的情况下存储 TVM IAM 凭证。

这是“使用令牌自动售货机验证 AWS 移动应用程序用户”的页面：http: //aws.amazon.com/articles/4611615499399490

最重要的是，我真的不确定 STS 如何解决并帮助解决这些问题：
1）除了在应用程序中之外，TVM IAM 帐户凭证存储在哪里？

2）如果我可以窃取 TVM IAM，STS 比首先拥有特定服务的受限 IAM 帐户更安全吗？

3) 如果我出于安全原因更改了 TVM IAM 账户凭证，STS 如何防止我再次重新部署应用程序？

我真的很困惑，添加令牌层确实有助于不将凭证放入应用程序，甚至不会为现有的 IAM 系统增加价值。我必须明显地遗漏一些东西。

任何帮助，请？
Ĵ

所以这里是设置。我有一个 STS 提供程序和 2 个 ASP.NET MVC 站点都信任同一个 STS 提供程序。用户来到站点 A 并被重定向到 STS 提供者被动登录，正确地进行身份验证，并按预期重定向回站点“A”。这一切都很好。我可以使用以下命令在站点“A”的代码中查看令牌和身份：

现在站点“A”上有一个链接到站点“B”，该链接支持相同的STS 提供者。问题是当我导航到站点“B”时，声明信息不存在，并且用户未自动进行身份验证。根据 STS 和 WIF 文档，应发生以下情况：

“流程照常开始，用户从站点 A 上的 B 请求页面并被重定向到 STS 以获取令牌。但是，这次用户已经通过 STS 站点进行了身份验证，因为存在由STS cookie。这意味着对 STS 页面的请求直接导致 SecurityTokenService 发布序列的执行，而不向用户显示任何用于收集凭据的 UI。令牌被静默发布并转发给 B按照通常的顺序。从用户点击到 B 的链接并且浏览器显示来自 B 的请求页面的那一刻起，只有浏览器中地址栏的一些闪烁会泄露一些身份验证发生在幕后的事实。这几乎就是单点登录 (SSO) 的含义：用户经历了仅登录一次的体验，从那一刻起，系统就能够访问更多可靠方，而无需再次提示用户输入凭据。”

有谁知道在 STS 提供者、站点 A 或站点 B 中明确需要发生什么才能使其正常工作？请记住 STS 和站点“A”运行良好；只是站点“B”没有获得 SSO 能力。

谢谢！