问题标签 [ws-federation]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
wcf - 通过 ADFS 对 Web 服务的用户进行身份验证
我希望有人能证实我对 WCF 的 ADFS 的理解(或缺乏!)。
我什至画了一个漂亮的图表。
“Bob”使用托管在客户域上的 Web 应用程序。客户端通过 AD 对 Bob 进行身份验证。但是,Web 应用程序使用在供应商上开发和托管的 WCF 服务。
客户和供应商之间建立了信任。
我的问题 - 当 Web 应用程序使用 WCF 服务时,我希望 WCF 服务重新验证“Bob”,然后 WCF 服务可以使用客户端上的 ADFS 服务器返回的声明。
这张图对吗?
wcf - wsfederationhttpbinding 中的加密证明令牌
我编写了一个 WCF 客户端,它使用 wsfederationhttpbinding 对 STS 和 RPS 进行身份验证。我最近注意到(使用 Fiddler)从 STS 收到的响应包含一个用于证明令牌的 SymmetricKey(因为我已将客户端配置为请求),但证明令牌未加密。
关于这个的几个问题:
- 据我了解,如果证明令牌未加密,则没有任何意义(例如,没有采取任何额外措施来防止中间人攻击)
- 如何请求 STS 加密证明令牌?
- 我可以在我的 RST 中向 STS 提供一个公钥,以便它加密证明令牌吗?
- 如果是这样,我如何配置我的 WCF 客户端来执行此操作?
提前致谢...
single-sign-on - ADFS、WIF、WS 联合、SAML 和 STS 之间有什么区别?
这些是用于 Microsoft 服务单点登录的众多技术和流行语。
有人可以解释一下 ADFS、WIF、WS 联合、SAML 和 STS(安全令牌服务),包括使用它们的地点和时间。
single-sign-on - 如何为 WS-Federation 实施“IdP 优先”方案
ADFS 2.0,WIF(WS-Federation):我想在用户首先访问 IdP 网站进行身份验证的场景中实现 SSO。在这种情况下,我们的客户拥有带有指向我们(服务提供商)网站链接的内部网门户网站,这实际上将他们引导到 IdP 网站,并在用户通过身份验证后立即将他们重定向到我们的网站。我找不到有关如何正确实施它的技术细节的任何信息,有人可以吗?
到目前为止,我做了什么,我使用 Fiddler 抓取了指向 IdP 的重定向链接作为门户链接,看起来它可以工作,但是我不确定这是否是正确的方法。如果你有类似的经历,请分享。
更新:更详细的用例:我们的客户拥有自己的内部网门户,其中包含指向我们网站(服务提供商)的链接。这个想法是为了避免额外的初始 http 重定向并为不同的客户提供单一入口点,以便我们的网站可以依靠来自用户的安全令牌来识别客户的身份,否则我们应该为任何客户提供单独的 uri . 用户单击该链接,它首先将他引导至其自己的 Intranet IdP 服务 (ADFS 2.0),该服务使用他的 windows 帐户对他进行身份验证并添加安全令牌并将他重定向到我们的(依赖方)网站,我们可以在该网站上识别他和他的组织(客户)通过令牌,他可以消费我们的服务。让我知道该场景是否有问题或看起来可疑。
federated-identity - 如何为 Saml2SecurityTokenHandler 使用基于文件的配置?
使用 Saml2SecurityTokenHandler 验证来自内部提供商或 ACS 的 SAML2 不记名令牌。能够以编程方式配置处理程序以进行验证,但它似乎不想从我的配置文件中的 microsoft.IdentityModel 部分中获取配置。构造 SecurityTokenHandlerCollectionManager 似乎也没有命名配置部分的概念,所以我似乎无法使用 mySaml2SecurityTokenHandler .Configuration - mySecurityTokenHandlerCollectionManager["NAME"].Configuration。
有没有一个很好的例子可以在某处进行设置?
single-sign-on - 如何在使用 WIF 的代码中获取 http 请求声明中的序列化?
ADFS 2.0、WIF (WS-Federation)、ASP.NET:web.config 中没有定义 http 模块或任何 IdentityFoundation 配置(如大多数 WIF SDK 示例所示),而是使用 WSFederationAuthenticationModule、ServiceConfiguration 手动通过程序代码完成和 SignInRequestMessage 类。我在代码中将 http 重定向到 ADFS,它似乎工作正常,返回声明并将用户重定向回我的网站,并在 http 请求中使用序列化声明。所以问题是如何使用 WIF 类、属性和方法解析这个请求并从中提取声明值?谢谢
wcf - WS-Federation 与 System.DirectoryServices
我有点困惑。如果有 WS-Federation 允许我的 web 服务的用户通过 LDAP 进行身份验证,那么如果我在我的服务代码中使用 WS-Federation 或 System.DirectoryServices 命名空间有什么区别?
谢谢
asp.net-mvc-3 - 将 WIF 与 asp.net MVC 3 一起使用,我在哪里定义 STS 注销端点?
我看到 FedMetadata 文档可以提供注销通知和订阅端点,并且 web.config 定义了登录请求的颁发者 url,但我找不到 WIF 知道发送注销请求的位置。如果我使用的 STS 为登录和注销请求定义了不同的端点,我如何在代码中访问它或在 web.config 中设置它?
wcf - 为 ws2007FederationHttpBinding 端点配置 SSL (https) 404 找不到端点
另一个与 WIF 相关的问题 - 谁能指出如何在 wcf 中为 ws2007FederationHttpBinding 端点配置 https 的方向。我在 IIS 中设置了所有证书和绑定,但是每当我尝试连接到端点时,我都会收到 404 错误。我的绑定看起来像这样
端点看起来像
真的很想看看该怎么办。
马特
single-sign-on - SAML-P 到 WS-Trust / WS-Fed 的过渡?
是否有人知道除了 ADFS 之外的可能选项,用于在使用 SAML-P(SAML 2.0 断言)的 Idp 和使用 WS-Fed / WS-Trust(SAML 1.1 断言)的回复方之间进行联合?