问题标签 [ws-trust]

我一直在努力找出如何在一个 STS 中实现主动 STS 和被动 STS。

那么要求是我需要允许应用程序拥有自己的登录页面，但它们应该通过我创建的自定义 STS 获得身份验证。如果他们使用自己的登录页面，我将不得不使用他们的登录页面和我的 sts 活动端点之间的 WS-Trust 关系添加他们的应用程序，以便他们将凭据传递给 Web 服务并获取 SAML 令牌？

请在如何创建具有被动和主动功能的单个 STS 方面提供任何帮助。

我正在尝试使用 C# 从 ADFS 2.0 ws-trust 服务获取 SAML 2.0 令牌。流行的示例是这个 http://leastprivilege.com/2012/11/16/wcf-and-identity-in-net-4-5-external-authentication-with-ws-trust/。但是，此示例使用 UserNameWSTrustBinding，根据这篇文章http://msdn.microsoft.com/en-us/library/jj157091.aspx，它没有跳转到 4.5 的 System.IdentityModel 命名空间。

我一直在试验这个样本和我发现的一些变体，但到目前为止，我能得到的唯一结果是各种错误消息。我想知道是否有任何好的方法来调试最新的“安全令牌请求具有无效或格式错误的元素。”。我打开了 WCF 登录，并确定此消息是由 ADFS 服务作为故障返回的。

查看 ADFS 服务器上的 AD FS 2.0/Admin 事件，没有任何错误迹象。一些帖子表明这在 ADFS 场环境中很常见，但我的是一个简单的单服务器配置。

有没有人有好的方法来诊断这个？或者，是否有一个很好的示例，其中包含 ADFS 服务器端的任何配置要求？

我正在使用System.IdentityModel.NET 4.5 中的 WIF ( ) 类创建 STS。此 STS 需要处理 ActAs 令牌。我已经成功地对客户端进行了原型设计以发送 ActAs 令牌，这会导致服务器端出现以下错误消息：

ID3265：找到 ActAs 元素，但没有注册令牌处理程序来读取 ActAs 元素。考虑将有效的 SecurityTokenHandlerCollection 添加到 SecurityTokenHanderCollectionManager 以供 ActAs 使用。

但是，我认为没有办法将 a 添加SecurityTokenHandlerCollection到SecurityTokenHanderCollectionManager. 这是怎么做到的？

我已经尝试过本文档中的建议：

但这会导致此错误：

ID0005：输入“configElement.ElementInformation.Properties”集合不包含名为“ActAs”的属性。

“等效”（根据该文档）咒语ServiceConfiguration.SecurityTokenHandlerCollectionManager["ActAs"]同样无益：

未处理的异常：System.Collections.Generic.KeyNotFoundException：字典中不存在给定的键。在 System.Collections.Generic.Dictionary`2.get_Item(TKey key) 在 System.IdentityModel.Tokens.SecurityTokenHandlerCollectionManager.get_Item(字符串使用)

请注意，本文档提供的信息与1基本相同，但专门针对 .NET 4.5。

如何处理 ActAs 代币？

如何使用 Azure Active Directory 保护 WCF 服务：

我的状态： - 我的包含业务逻辑的 WCF 服务托管在 Azure WebRole 上。

我希望您的帮助执行以下操作：

• 在 Azure 中配置我的 WCF 服务以将身份验证过程联合到 Azure Active Directory。
• 通过提供他的 [用户名/密码]，配置我的 WCF 客户端以从 Azure Active 目录获取令牌。
• 配置我的 WCF 服务以验证客户端的令牌。

我的环境限制：

• 周转基金 4.5 。
• WIF 4.5。
• 视觉工作室 2012 。
• 这是一个概念证明，我必须使用自签名证书。

如何使用 Azure ACS 2.0 保护我的 WCF 4.5 服务？

我有一个 WCF 服务，它以编程方式公开 WsFederationHttpBinding 端点。然后，我想使用 Visual Studio 使用服务引用对话框创建客户端端点。客户端生成正确的端点和绑定，但我必须在客户端配置中为 STS 手动创建绑定，并将其连接到联合服务绑定的发布者元素。有没有办法创建服务器端绑定，以便在客户端自动生成 STS 绑定？

这基本上是我在代码中生成绑定的方式：

当我在 Visual Studio 中为此生成代理时，stsBinding 不在配置中或已连接，有没有办法让这种情况发生或 MEX 不允许它？

我有一个 MVC 4 应用程序设置来重定向到被动 STS 站点。我不完全理解 WIF 从重定向返回时为填充线程上的 ClaimsPrincipal 所做的所有巫术。

我们现在要将其更改为活动的 STS。根据我从博客中收集的小片段，看起来我需要做的是使用某种 WSTrustClient 来访问 STS 的 WSTrust 端点。但是使用 Thinktecture.IdentityModel 中的 WSTrust 客户端，它看起来会返回一个 SecurityToken 对象。我不明白这一切应该如何连接在一起，以便我得到 ClaimsPrincipal。

谁能给我一个正确的方向？

我们的合作伙伴正在尝试根据规范设置基于 WS-Trust的PicketLink STS 。无论 WIF 是否支持这一点，我都找不到任何信息。我知道它支持 WS-Federation，它是 WS-Trust 的扩展。大多数时候这两个术语是结合使用的，所以我不知道是否也支持单独的 WS-Trust。

提前致谢。

在联邦安全领域，我正在寻找比我更有知识的人提供的一些最佳实践建议。

我们的情景

我们托管（订阅）网络服务（WCF/Asp.Net/IIS）。我们还有一个纯 JavaScript 组件（小部件），我们的客户将其嵌入到他们的 Intranet 应用程序中。小部件调用网络服务获取数据，因此我们需要小部件从他们的域向我们的域发出跨域请求。

该小部件目前使用JsonP和 Ajax 脚本标记注入方法的组合来执行此操作。（原因 - 小部件的年龄和对旧版非 CORS 浏览器的持续支持的组合）。

问题

我们所有的客户都需要单点登录，因此不会要求他们的用户登录小部件。到目前为止，我们通过向新用户发出 ApiKey 并要求他们在首次使用时将其输入到小部件中来实现这一点，然后创建一个 cookie 以供以后使用。

我们需要将联合身份验证集成到此场景中。Web 服务（在我们的域上）是依赖方 (RP)，而小部件（托管在客户域上）是客户端。身份提供者和 STS 也将位于客户域中。

从我目前的研究来看，我认为我可以做出以下陈述：

• 这种情况需要主动联合方法。当 RP 是 Web 服务时，从不使用被动联合。
• 我们需要将联合端点添加到我们的 WCF 服务中，以允许 Active 客户端调用我们提供 Saml 令牌。
• 使我们的小部件成为直接与网络服务通信的活动客户端是不可能的。这将要求 Widget 请求身份并将其传递给 RP。这对于仅 JavaScript 的应用程序来说太过分了。

可能的解决方案

1. 在 FedAuth 场景中，实际上是否取决于小部件的主机页面（又名客户的 Intranet 应用程序）作为客户端？
2. 我们可以提供一个托管在客户域中的代理，并充当我们 Web 服务 RP 的活动客户端。然后小部件可能不知道任何身份验证。
3. 我们是否遗漏了一些非常明显的东西？

如果您能帮助我们并抽出时间，我将非常感谢您对上述内容发表评论。我很高兴听到我的断言也不正确。在这一点上，所有的消息都是好消息......

我正在寻找以前在 Microsoft 连接网站上用于测试和实验目的的 U-Prove 的 WCF 实现。

我看过几个提到 U-Prove 和 WCF/Cardspace 的视频，但似乎所有这些插件都已被删除而不是被替换。

我想看看那些我能理解的样本

• 如果 WCF 绑定已“升级”以支持 UProve 进行身份验证

• 如果使用 WCF 发行和更新 UProve 令牌

• 序列化的完成方式和位置（是自定义绑定还是简单服务）

• 任何其他可能已通过 UProve 改进的 WCF 特定技术

最终，我想采用“过时”的 WCF 示例并将其现代化，以便 JSON 令牌具有与我假设基于二进制的 Cardspace 演示过去所做的相同的影响。

任何指向过时 Microsoft Connect 项目的存档链接或 FOSS 替代品都会有很大帮助。