问题标签 [thinktecture-ident-server]

我正在使用 Thinktecture Identity Server for SSO 和一些应用程序。这个想法是帐户信息将存储在服务器上的索赔信息中。因此，组用户成员资格和其他层次结构可以存在于 SSO 服务器上。然后，当有人进行身份验证时，他们将通过声明传递其成员资格和权利。

我的问题是我的身份验证订阅者如何执行user.memberOf(x)某种查找？我无法想象整个权限层次结构会在用户声明中传递下去。我想将对像 LDAP 这样的服务器上的登录执行额外的查询。这对 Thinktecture 有什么作用？其他 SSO 服务器通常是否相同？如果是这样，模式名称是什么？

我要先说我是这个领域的新手。我们的系统有大量用户，其中一些使用 SAML 身份验证登录，另一些使用主页上的表单身份验证，还有一些使用自定义构建的单点登录解决方案。发生这种情况是因为不同的客户端喜欢不同的身份验证模式。我们正在寻求简化身份验证，使其不是 Web 应用程序的功能，因此我们将采用声明模型。构建 STS 的基础架构选项之一是 Thinktecture Identity 服务器。

我的问题是这样的： - 同一个网络应用程序是否可以有多个 STS，如果是这样，切换发生在哪里？即，如果 user1 使用 SAML，该用户的凭据如何发送到该特定 STS？

此外，Thinktecture 是构建此类东西的正确基础设施，还是我应该看看其他东西？

我们有两台装有 Cisco Ace-30 负载平衡器的 Windows 2008 R2 服务器，以及一些具有联合身份验证 (thinktecture) 的 MVC 和 WebForms 应用程序（.net 4.5 和 4.5.1）。负载均衡器配置了 ssl，但从负载均衡器到 Web 服务器的流量是在 http 上。我要解决的问题是 url 的部分区分大小写。拿这个网址：

• https://my-server.temp.net/MyApp/（工作）
• https://my-SERVER.temp.net/MyApp/（工作）
• https://my-SERVER.temp.net/MyApp/DEfault.AsPX（工作）
• https://my-server.temp.net/myapp/（不工作，即没有响应）

在负载均衡器中，我禁用了默认的区分大小写，从我读到的内容来看，IIS 中没有这样的设置。我尝试创建一个静态网站（无身份验证），并且按预期工作：

• https://my-server.temp.net/StaticSITE/（工作）
• https://my-server.temp.net/staticsite/（工作）

我还尝试设置一个 url 重写规则，一旦应用该规则，就会出现超时。我的猜测是 IIS 将传入的 http 请求重写为新的 http 请求，负载均衡器无法识别其已修改的 https 请求。但我在这里猜测并超出了我的舒适区。

所以现在我有点困惑，不确定是什么导致 url 区分大小写。是吗：

• 负载均衡器
• IIS
• 认证
• 别的东西

对于任何想法或调试技巧，我都会非常高兴

谢谢

拉尔西

我已经在 windows azure 网站角色中部署了 thinktecture 身份服务器。我面临的问题是 SSL 证书。如果我没有自定义域名，我将被迫使用已经拥有微软证书的 *.azurewebsites并且应用程序池帐户无法读取此证书的私钥，因此会引发错误。

有人有同样的问题或对我能做些什么来解决它有任何想法吗？

谢谢

如果我希望我的网络应用程序支持具有以下 IP 的用户并提供与其他链接网络应用程序 1.谷歌 2.微软 3.Facebook 4.ArbitaryDomain1 5.ArbitaryDomain1 的单点登录体验，我应该采用哪种身份验证机制

我一直在阅读很多内容并遇到以下问题 1. 使用 ThinkTecture 作为 ID 存储（Google、Microsoft、Facebook）并创建 ADFS（ArbitaryDomain1、ArbitaryDomain2），在这里我的 Web 应用程序可以与包装 Thinktecture 和其他任意域的 ADFS 进行通信（不确定如何）...请建议 2. 使用 OpenID Connect 3. 使用 ACS

但可以最终确定任何一个，并对任何有效的建议开放。请分享您的宝贵意见。

我们有很多通过 thinktecture identityserver v2 进行通用身份验证的站点。

现在我们想要有登录到站点的日志。我们有一个自定义的 IUserRepository，我们可以在其中登录用户登录，但是我们如何继续并获取用户登录的站点？

当我们从一个站点跳到另一个站点时-怎么会被记录下来

如果没有对此的内置支持，那么修改代码的最佳位置在哪里？

似乎它可以在我可以基于uri获得领域WSFederationController的方法中完成。Issue

拉尔西

我之前一直在使用 OAuth 资源所有者凭据流进行授权。

但是，我现在想考虑在此步伐中使用 openid connect 进行身份验证和授权，并且想知道 openid connect 是否支持资源所有者凭据流。

我正在尝试制作一个将登录名和密码发送到 ASP.NET WebApi 后端并使用 Thinktecture 登录该用户的 AngularJs 网络。

我让 Thinktecture 使用 WS-Federation 与其他项目 ASP.NET MVC 一起正常工作。现在我正在尝试做类似的事情，但改变了一些组件，但我无法让它工作。

如何从 ASP.NET WebApi 将用户名和密码发送到 Thinktecture 并对其进行验证？

谢谢！

看着http://www.codeproject.com/Articles/683732/Thinktecture-Identity-Server-Configuration-Customi和http://brockallen.com/2014/04/09/introducing-thinktecture-identitymanager/，我是对 IdentityServer 和 IdentityManager 之间的关系有点困惑。

我目前理解的方式如下：

• IdentityServer 可以用作 STS，并管理用户。
• IdentityManager 可用于管理用户。

上述说法是否正确？将来用户部分是否会逐步退出 IdentityServer？

我们当前的系统是纯 ASP.net Web 应用程序。我们有自己的登录页面，用户将在其中输入他的用户名和密码以进行身份​​验证和授权。系统将从我们的用户表中验证这一点，如果匹配，它将为用户创建一个安全会话对象，该对象将在每个页面上进行验证。我们获得了自己的 user_profile 表，用于对每个模块/功能进行授权。

我们正在使用带有 AJAX 的 Web Api 重新设计我们的系统并支持移动设备。成功登录后，应使用 IdentityServer 或授权服务器为用户创建新令牌，以便他可以将该令牌用于每个 webapi 调用。

对于我们的系统，当涉及到安全性时，我们在这方面没有经验。经过一番谷歌搜索后，了解了 OAuth。还发现有很多人将 Thinktecture 用于安全实施。基于对 Thinktecture 的一些谷歌搜索，我的理解是 IdentityServer - 将用于身份验证 AuthorizationServer - 将根据用户的访问权限颁发令牌。这个 AuthorizationServer 有自己的页面来创建用户、角色和数据库来存储这些详细信息。

在我们的例子中，因为我们有自己的用户表和模块的用户配置文件映射，我们相信我们不需要这些管理模块来从授权服务器创建用户/角色和数据库。

有人可以指导我们这些服务器在哪里符合我们的要求吗？对于我们的场景，您推荐哪一个？

抱歉，如果这些问题已被较早提出并已得到解答。