问题标签 [wif]

在 Windows Identity Foundation (WIF) 中，有一个名为ClaimsPrincipalPermission. MSDN 上的文档非常稀少。它指出：

ClaimsPrincipalPermission 表示访问资源所需的权限。ClaimsPrincipalPermission 接受一个表示要访问的资源的字符串和一个表示要对资源执行的操作的字符串。调用 Demand 时，principal 必须具有对指定资源执行指定操作的权限，否则 Demand 会抛出异常。

这很酷。它允许我在函数上设置属性并使其只有授权用户才能调用该函数。我可以毫不费力地使用此功能。

但是，还有另一个问题。我正在开发一个具有许多功能的 Web 应用程序，这些功能只允许某些用户访问。我希望将我的页面编码为仅显示具有登录用户可以访问的功能的页面的链接。

我看到使用 ClaimsPrincipalPermission 执行此操作的唯一方法是执行以下操作：

我的主管向我明确表示，这种“异常编码”是不可接受的。我确信我可以将这类东西封装在一个小型库中，但我想知道 WIF 打算如何用于此目的。

顺便说一句，我知道 WIF 允许我自动检查对特定网页的访问，但该项目的架构师希望指定要限制的函数名称，而不是网页 URL。

最好的办法是什么？

更新

到目前为止，我发现的最好的事情是通过异常封装编程以减轻后果......

The ways I can think of are:

• Use Windows Identity Foundation (WIF). I have never done this so is a black box and risky.
• Use Forms Authentication or similar, then use database replication to make sure each application has access to the data store.

No doubt there are other options.

More info: This is for an internet solution, not intranet/LAN

是否有将 WIF 与 ASP.NET MVC 应用程序一起使用的示例应用程序？有人可以帮助我开始尝试整合这两种技术吗？

我正在为以下场景的配置而苦苦挣扎。

• 我有一个自定义 WCF/WIF STS (RP-STS)，它为我的 WCF 服务提供安全令牌
• RP-STS 是“主动”STS
• RP-STS 充当索赔转换 STS
• RP-STS 信任来自许多特定于客户的身份提供商 STS (IdP-STS) 的令牌
• 当 WCF 客户端连接到服务时，它应该使用其本地 IdP-STS 进行身份验证

我所做的阅读将其描述为 Home Realm Discovery。HRD 通常在 Web 应用程序和被动 STS 的上下文中进行描述。我的问题是，就我的情况而言，选择 IdP-STS 端点的逻辑是否属于 RP-STS 或 WCF 客户端应用程序？

我认为它属于 RP-STS，但我无法弄清楚实现这一点的配置。RP-STS 有一个端点，但我不知道如何为每个端点添加多个受信任的颁发者。

任何有关这方面的指导将不胜感激（我没有对 Google 有用的关键字。）另外，如果我还不行，请提供替代方法。

_{（来源：marshaledthoughts.com）}

我试图了解 WIF 中主动和被动联合之间的区别。如果依赖方 (RP) 是 WCF 服务而不是 ASP.NET 应用程序，则似乎可以使用主动联合；如果 RP 是 ASP.NET 应用程序，则使用被动联合。这是准确的吗？

因此，在 ASP.NET 应用程序在后端使用 WCF 的情况下，MS 文章建议使用由 ASP.NET 应用程序使用 ActAs STS 获取的“引导”安全令牌，该令牌用于身份验证与 WCF。在这种情况下，我们似乎正在组合 Active (user -> STS -> ASP.NET RP) 和 Passive (ASP.NET -> ActAs STS -> WCF) 联合？

我有一个 Web 应用程序，并希望使用 Windows Identity Foundation 3.5 使用自定义 STS 对其进行保护。所有示例在场景中都有被动 STS。为什么需要这个？如果您直接调用使用 WIF 编写的 Active STS 9Custom，会发生什么情况？

从已经通过被动 STS 进行身份验证的网站传递现有 SAML 令牌的最佳方式是什么？

我们已经建立了一个身份提供者，它向网站发出被动声明以进行身份​​验证。我们有这个工作。现在我们想将一些 WCF 服务添加到组合中 - 从已经过身份验证的 Web 应用程序的上下文中调用它们。理想情况下，我们只想传递 SAML 令牌而不对其进行任何操作（即添加新的声明/重新签名）。我看到的所有示例都需要 ActAs sts 实现——但这真的有必要吗？对于我们想要实现的目标，这似乎有点臃肿。

我会认为一个简单的实现将引导令牌传递到通道中 - 使用 CreateChannelActingAs 或 CreateChannelWithIssuedToken 机制（并设置 ChannelFactory.Credentials.SupportInteractive = false）来调用具有正确绑定的 WCF 服务（那会是什么？）会有够了。

我们使用Fabrikam示例代码作为参考，但正如我所说，认为这里的 ActAs 功能对于我们想要实现的目标来说太过分了。

我有一个应用程序，我想使用带有用户名/密码的 WCF DS 连接到服务器。此外，我希望每个客户也有一个证书（每个客户都不同）。我怎样才能以最简单的方式解决这个问题？将新证书部署到客户端必须很简单。

当我开始探索 WIF 时，我对以下几点有疑问：

在 Windows 标识基础 [WIF] 中，查看安全令牌服务 [STS]，我想知道联合身份验证令牌保存在哪里？

我认为它在浏览器 cookie 中，如果是这样，任何人都可以给我一个关于它的见解吗？

我看到联合身份在第一次请求 STS（安全令牌服务）之后将安全令牌存储到 cookie 中。在这种情况下，如果我在浏览器中禁用 cookie，它是如何工作的。

身份验证模块是否再次连接到 STS 以检索用户信息，还是会抛出任何错误？

有什么方法可以使用联合身份验证 cookieless 吗？