问题标签 [ws-trust]

是否有人知道除了 ADFS 之外的可能选项，用于在使用 SAML-P（SAML 2.0 断言）的 Idp 和使用 WS-Fed / WS-Trust（SAML 1.1 断言）的回复方之间进行联合？

我正在尝试实现自定义 WCF 服务客户端。服务器使用 wsHttpBinding 和消息安全，没有客户端凭据。我必须以编程方式形成一个适当的肥皂信封才能开始 TLS 握手。我已经从标准 WCF 客户端捕获了初始请求。消息如下所示：

问题是，我不知道应该编码什么值并将其插入 BinaryExchange 标记。任何帮助，将不胜感激。

我正在开发一个 Silverlight 应用程序，它使用主动身份验证从 STS 获取 SAML 令牌。在开发过程中，我尝试使用 Visual Studio 的新本地 STS，但为此我需要ClientAccessPolicy.xml在本地 STS Web 应用程序的根目录中放置一个，以便我的 Silverlight 应用程序可以与之通信。有谁知道我的文件系统放在哪里？

我们正在寻找一种为 ACS 实例提供故障转移的方法，因此如果一个数据中心脱机，通过 ACS 的身份验证会自动故障转移到另一个数据中心。

背景：

我们使用 ACS 转换由定制开发的 STS 通过 WS-Trust 协议提供的 SAML 令牌。ACS 用于在我们的 STS 和由 3rd 方开发的许多依赖方之间建立信任。依赖方当前配置为使用其 DNS URL 连接到特定 ACS 实例。

我们研究了以下内容：

1. 使用 DNS CName 条目来屏蔽 ACS url - 不起作用，因为新 DNS 与实例上的 SSL 证书不匹配，我们无法控制 SSL 证书。
2. 在 ACS 前面使用代理将请求路由到它 - 不起作用，因为消息中的 To address 和 Realm 与 acs 命名空间不匹配。
3. 由于 1 和 2，流量管理器不起作用，并且因为它当前不允许您将负载直接加载到不以 .cloudapp.net 结尾的地址。

我刚刚开始使用基于声明的安全性，并且有一个与身份委托相关的问题。我设法设置了一个本地虚拟 STS 和几个依赖它进行身份验证的 WCF 服务。Web 应用程序通过 STS 对用户进行身份验证，并代表用户调用服务 A （使用ChannelFactory.CreateChannelActingAs）。这工作正常。

现在我想使用 Azure 访问控制服务 (ACS) 作为联合提供程序，并使用 Google 帐户（或其他）登录，完全摆脱虚拟 STS。我能够对 Web 应用程序进行身份验证，但在尝试调用 Web 服务时收到“错误请求”响应。

我意识到有很多事情可能是问题所在，但是我还没有真正检查过 ACS 是否支持这个 ActAs 的 WS-Trust 概念。我发现一个论坛帖子表明不支持 ActAs，但它大约有六个月的历史。

谁能确认 ACS 是否支持 ActAs？如果没有，是否有任何其他聪明的方式来实现支持的身份委托？

我有一个从远程 Java 程序调用的 Web 服务。我想用 WS-Trust 保护 Web 服务，使用 PicketLink。PicketLink 正在工作，我可以使用 WSTrustClient 类从 picketlink-sts 获取令牌（断言）。

但在 JBoss 7 中，似乎无法为任何客户端 WS 运行时类提供此令牌。JBoss 站点上的示例使用这个：

但是 org.picketlink.trust.jbossws.SAML2Constants 不存在，因为在任何 JBoss 7 或 PicketLink jar 中都没有 org.picketlink.trust 包。

我确实尝试了所有方法来使基于令牌的 WS-Trust Web 服务正常工作，但无济于事。我可以从 STS 获得令牌，但我的一生，我无法弄清楚如何使 WS 服务器安全并使用令牌从外部访问。

所以我想知道的是，是否有人曾经让这个在 JBoss 7 上工作。我对“jboss 上的这个和那个应该给你一些信息”不感兴趣。在那里做过 - 不起作用。你能够让它工作吗？

我有一个用 WIF 实现的自定义 STS。我的 WS-Trust 服务正在使用这些配置：

现在我有一个需要调用 WCF 服务的 Web 应用程序。Web 应用程序和 WCF 服务都是我的自定义 STS 的依赖方。在我的 Web 应用程序的 web.config 中，我有以下内容：

现在的问题是，当我尝试使用客户端端点调用 My WCF 服务时，WCF 将首先联系 STS WS-Trust 端点以获取令牌。

但是 WS-Trust 服务期望客户端提供一个证书来验证自己。如何在 web.config 中指定这些凭据？

我认为在代码中我会做类似的事情：

有任何想法吗？

谢谢。

I'm making an application that must be connected to an ADFS. I wonder if it is possible in MonoDroid. Investigating I found a code for Windows Phone but MonoDroid no such classes. The code is

使用 SAML 保护 Web 服务的工作流程是什么？在 JBoss 中是否可以使用特定的 ws-trust 实现。

目前，我在 JBoss AS7 中部署了一个 pojo-ws (SP)，使用 picketlink SAML 处理程序和使用 SAML2STSLoginModule 的安全域配置。

我还有一个 pojo-ws-client 与 STS（picketlink-sts）联系，获取一个令牌（SAML 断言）并以编程方式将 SAML 断言插入 SOAP 标头以调用 pojo-ws。

在这种情况下，客户端知道要联系 STS，但没有 ws-client 需要联系 STS 的事实，有没有办法在调用 SP(pojo-ws) 时启动联系 STS(picketlink-sts)