问题标签 [ws-trust]

我使用身份联合（google、facebook、live id）和 WCF SOAP 服务配置了 Thintecture Identity Server。

现在我需要用于 Windows Phone 应用程序的 WCF Rest Endpoint (webHttpBinding)。我不想在授权标头中传递 WSTrust SAML 令牌。是否可以将 SamlToken 转换为 JWT 令牌以及如何:)？

以下是我尝试过的代码，但不起作用。

感谢帮助。

我正在尝试在需要在 Windows-XP 及更高版本上运行的 WPF 客户端应用程序上为我的用户获取 SAML 令牌。我使用 WS-Trust 从身份提供者那里获取 SAML，然后将其传递给 Azure 访问控制服务，该服务使用 O-Auth 返回一个简单的 Web 令牌，我使用该令牌对客户端上的用户进行身份验证并调用安全 API在信任 ACS 的 Azure 上。

我的代码使用 WIF (Windows Identity Foundation) 并且在 windows-xp 之上的操作系统上运行良好。我见过的唯一示例使用 WIF 从安全令牌服务请求 SAML 令牌，但 Windows-xp 不支持 WIF，因此我被卡住了。我试图做一些研究，但找不到在不使用 WIF 的情况下完成上述场景的方法。我有什么办法可以在 windows xp 客户端上执行此操作吗？如果不是，那么我应该做些什么不同的事情？

我用来获取令牌的代码是：

//GetSamlToken from STS for ACS realm using UserCredential, this uses WIF

//使用从 STS 获得的 xmlSamlToken 从 ACS 服务端点获取 OAuthToken。

我已经实现了一个 STS，它允许客户端使用 X509 证书进行身份验证。WIF（现在内置在 .NET 4.5 中）有一个X509SecurityToken类似乎非常适合这种情况。就我而言，我还想传递一个ActAs令牌，但在我看来，虽然 ActAs 令牌是经过验证的（通过不同的令牌处理程序集合），但对于X509SecurityToken，此验证并不能证明调用者拥有私钥，就像将令牌用作消息凭据时一样。

有没有办法解决？我如何要求 ActAs 令牌证明它具有私钥？

在 ASP.Net Web API 服务的上下文中，我试图连接到 SharePoint STS 以读取共享点用户的安全声明。

用户使用基于表单的身份验证向 SharePoint 2013 进行身份验证。

我与 sharepoint 站点在同一个域中，因此我可以访问 sharepoint 使用的 FedAuth cookie。

我正在尝试使用 System.ServiceModel.Security.WSTrustChannelFactory 来制作对安全令牌的请求，但我不确定应该使用什么作为 WSTrustChannelFactory 构造函数的参数。

我正在寻找一些验证，以证明我正在尝试的方法是合理的，以及我应该如何使用 WSTrustChannelFactory。

笔记：

STS 的地址可在http://localhost:32843/SecurityTokenServiceApplication/securitytoken.svc

在 WSTrustChannelFactory 文档中有使用代理的参考：

我似乎找不到一个例子。
在我的一些用户的计算机中，为外部请求定义了一个代理。
如果 STS 在代理后面，我如何请求令牌。

目前我得到它如下：

如何将其更改为使用代理？

谢谢。

我已经阅读了一些关于 WS-Federation 的文本，但我无法理解。我有一些疑问 ：

1. 如果没有 WS-Federation 会发生什么？
2. 单点登录有什么帮助？
3. WS-Trust 和 WS-Federation 有什么区别？

我只想在现实世界中以非常简单易懂的样本来回答！我读了很多，但我无法深入理解

谢谢

我有一个直接针对 WIF/WCF 活动 STS 进行身份验证的应用程序。该应用程序也是一个被动 STS，充当网站依赖方的 WS-Federation 端点。

当用户登录网站 RP 时，他们被重定向到被动 STS 进行身份验证（用户名和密码），并且在两步过程中，被动 STS（充当主动 RP）向 STS 发送问题 RST，并收到一个签名的 SAML 令牌作为回报。对于第二步，被动 STS 向 STS 发送第二个 Issue RST，使用上一步中收到的令牌进行身份验证。

问题在于，在第二步中，WCF 客户端在将<Signature>元素发送回 SOAP 标头中的 STS 之前从 SAML 断言中剥离元素。我已经验证（通过测试序列化传递给的令牌）当我调用生成的通道ChannelFactory<TChannel>.CreateChannelWithIssuedToken时，令牌仍然存在签名。IWSTrustContract.Issue

这是应该提供给 STS 的断言 XML：

根据服务跟踪查看器，这就是 STS 收到的内容：

当然，STS 无法验证断言的签名，因为它已被剥离，它无法验证客户端并为网站 RP 颁发不记名令牌。

为什么 WCF 联合客户端从断言中剥离签名，我怎样才能让它不这样做？

我阅读了 2 个 WS* 协议，WS-TRUST 和 WS-FED。但我对如何使用这些协议的实时场景感到困惑。谁能告诉我在哪些情况下我可以使用 WS-TRUST 和 WS-FED ？如果有人能分辨出这两种协议中哪一个最好用于保护 REST 服务和 normal.ASPX 页面，那将非常有帮助。

我原以为基本上可以从此切换客户端凭据：

至：

然后创建一个 wsTrustChannel 来获取安全令牌。

用户名和密码工作正常，只是使用证书抱怨没有指定用户名。我的印象是令牌发行者会从证书中查找关联的用户。我在哪里错了？

目前，我可以通过首先通过 WS-Trust 端点使用证书凭证从 STS 建立安全令牌，然后在通道工厂上调用 CreateChannelWithIssuedToken() 来建立带有 IssuedToken 的 WCF 通道。请参阅如何使用 Thinktecture IdentityServer 指定证书作为 wsTrustChannel 的凭据

但是，不要这样做：

理想情况下，我只想这样做（并让安全令牌的颁发者根据传递的证书自动颁发令牌）。

我的问题是 - 可以像下面这样配置绑定来指定 ThinkTecture IdentityServer STS 是安全令牌的颁发者吗？

如果是这样 - 我在配置这部分绑定时遇到了很多麻烦：

我的主要困惑是：issuer config 元素似乎将绑定、行为和端点都封装在一个元素中。可以配置绑定 - 显然必须配置，因为上面的 issuer 元素抱怨没有配置绑定。但是如何为颁发者通道指定 SSL 证书，因为这是一个行为配置，并且似乎没有任何方法可以为颁发者端点设置行为。