问题标签 [ws-trust]

我正在尝试用 java 开发一个项目，我将在 3 个不同的服务器配置文件（IBM WebSphere sevrer）上运行 3 个不同的应用程序。申请详情...

1. Service app1 & Service App2....当有人发送请求访问该应用程序的资源时，如果没有重定向进行身份验证或授权允许他访问资源，它将首先检查用户是否是授权用户。

2. IdV 应用程序...这将通过询问用户详细信息以及如果授权成功将 saml 令牌分配给用户并重定向到它获得授权用户请求的应用程序来对用户进行优化。

注意：我在互联网上进行了很多搜索，并浏览了 ibm 人员提供的 Web 服务指南，但我没有找到任何指导实现此场景的方法的创建解决方案。

伙计们请提出具体的解决方案。

如果您发表负面评论，请写下正确的评论。

我正在尝试通过执行以下操作来设置一个简单的脚本，该脚本使用 cURL 来监控我们的 SharePoint Online 网站：-

1. 使用“../adfs/services/trust/13/UsernameMixed”端点使用联合身份 (ADFS 2.1) 登录到我们的 Office 365 环境
2. 获取 SharePoint cookie（FedAuth 等）
3. 浏览到 SharePoint 网站（验证内容等）

第一步，我使用 cURL 将以下 POST 提交到我们的 ADFS 端点：

我发送的 SOAP 信封请求以下内容（这只是请求的摘录）：

我从这里得到的响应包含一个 X509 证书、一个摘要和一个我不知道该怎么处理的签名。我在网上看到的所有指南都会从这个初始请求中返回一个“BinarySecurityToken”，您可以将其提取并发布到 Sharepoint.com 以获得必要的 cookie 以获得访问权限。诚然，他们都在使用 MicrosoftOnline STS（云凭据），所以这只是 Microsoft STS 可以实现但 ADFS 服务器不能实现的东西吗？

还是我的方法有什么明显的错误？

任何帮助将不胜感激。

干杯，

邓肯

有没有办法配置 picketLink-sts 以接受带有 mustUnderstand 标头的肥皂请求？

我正在使用：https ://github.com/picketlink2/picketlink-quickstarts/tree/master/ws-trust/picketlink-sts

我发送的请求是：

答案是：

例外：

我们的 webapi 端点用于基于浏览器的客户端（angular）和非基于浏览器的客户端（restsharp），并且 webapi 当前使用被动 WS-Federation 作为协议和 ADFS 作为 STS 来保护 webapi。我们目前对 restsharp 客户端使用一种相当复杂的解决方法，因为被动 WS-Federation 对于非浏览器客户端确实不是最佳选择，因此我们希望找到一种更好的方法来保护这些类型的客户端的 webapi 端点，而不必替换 ADFS或添加额外的基础设施。

我的理解是，OAuth2“资源所有者密码凭据授予”（grant_type=password）会很好地支持这种情况，但不幸的是，ADFS 目前不支持它。

所以，我的问题是，有没有一种很好的方法来使用 ADFS 支持的一个 OAuth2 流，即“授权代码授予流”（grant_type=authorization_code）来支持非基于浏览器的客户端？

如果这不可能，我是否可以使用 WS-Trust 和不记名令牌来保护 WebApi 端点而不使用 WCF？

我是 WCF、.NET、Web 服务和一切的新手——事实上，在我接受目前的工作之前，我主要是一名 Java 和 SQL 编码器。

手头的任务：我们数据库中的部分客户数据需要定期导出到第三方提供的数据库，并可通过 Web 服务访问，而后者又由第四家提供的 STS 进行联合保护派对。

在花费数小时处理令人困惑的 MSDN 文档和大量关于 WCF 的博客文章之后，我仍然无法让 STS 与我交谈，我得到的只是一个(400) Bad Request..

我的代码：

生成此 SOAP 主体：

根据第四方的文档，STS 期望是这样的：

该文档的其他地方指出 Context 和 Lifetime 是可选的。因此，据我所知，我有两个问题：

1. 如何将 ApplysTo 地址序列化为 URI 元素？
2. 如何将声明序列化为 Attribute/AttributeValue 元素（使用正确的方言）？

我是否必须实现一些自定义序列化？如果是这样，我如何以及在哪里将它连接到工厂/绑定/请求中？

我有一个场景，客户端使用 kerberos 身份验证（无法更改），因此我的 WCF Web 服务只能访问 WindowsIdentity 对象（System.Security.Prinicpal.WindowsIdentity）。WindowsIdentity 对象并没有告诉我太多关于用户的信息（基本上只是登录名）。我需要的是关于用户的具体声明（例如电子邮件等），以便我可以将 AD 用户映射到我的系统用户之一。

我已经与 ADFS 建立了依赖信任关系，并且从我的服务器，使用用户名和密码，我能够检索 SAML 令牌并提取我想要的声明（即 UserNameWSTrustBinding）。

话虽如此，看来鉴于我手头有一个 WindowsIdentity 对象（最终由 ADFS 系统提供），我应该可以要求 ADFS 向我颁发一个 SAML 令牌。也就是说，我没有指定用户名/密码，而是提供了 WindowsIdentity。

如果有人能指出如何实现这一目标的正确方向，我将不胜感激。

非常感谢！

编辑：我找到了以下 Microsoft 文档，该文档显示了将 kerberos 票证转换为 SAML 令牌。所以我知道它是可能的，我只是还没有弄清楚如何完成它。

https://msdn.microsoft.com/en-us/library/ff359114.aspx

我正在开发一个围绕 ASP.net MVC 和 WebAPI 构建的 SaaS 应用程序，并希望让企业能够轻松使用我的服务。示例是 Office 365 基本身份验证（活动配置文件），其中用户在微软的网站（或桌面应用程序）上输入他的用户名/密码，并且他通过其雇主的活动目录进行身份验证。到目前为止，我的理解是我需要创建一个 RP-STS，它将接受凭据，然后将这些凭据转发到在客户公司的 AD 服务器上运行的 AD FS 代理。它是否正确？

如果是，那么我该如何实现呢？设置 AD 服务器添加依赖方和 AD FS 代理角色很容易，所以这真的不是问题。我只需要弄清楚如何创建/设置 RP-STS 服务以及此过程中涉及的任何其他步骤。.net 中没有这方面的示例/教程

它让我头疼……我在这里错过了什么……一定是带有时间戳的东西，因为当我和那些人一起玩时，我会遇到不同的错误……

我有以下信封（这是供应商给我使用的方式）但它一直给我

这是我的代码：

我对微软的架构不友好，但我必须在网站上实现 ADFS 身份验证。

我决定使用 WS-Trust 来解决它。

所以首先，我发送一个 RST（请求安全令牌）到http://server.com//adfs/services/trust/13/UsernameMixed

我收到了包含安全令牌的例外 RSTS（请求安全令牌响应）。

但是，我被卡住了，我不知道下一步该怎么做。

主要目标是登录到需要 ADFS 身份验证的 SharePoint 网站。

也许，有人可以帮我解决这个问题。

If WS-Federation/WS-Trust are deployed as part of a service to expose consumable ADFS endpoints, is there a dependency on Kerberos?

For example, if Web Application Proxy (WAP) servers were being implemented as part of an ADFS roll-out and the WAP severs were not joined to the domain, will this limit the ability to consume WS-Federation/WS-Trust endpoints exposed by ADFS?