1. 首頁
  2. 問答
  3. 創建令牌以在RP應用程序中進行身份驗證

創建令牌以在RP應用程序中進行身份驗證

2013-03-09 66 views
0

我在Sharepoint中創建了一些身份驗證模型。我想從你那裏知道這是不錯的做法。創建令牌以在RP應用程序中進行身份驗證

我們有一些IDP在2.0版本中發送POST SAML令牌,但RP應用程序不支持該版本中的SAML,但是在V1.1中。

我此,例如模型創建:

  1. IDP發送SAML 2.0至SAMLHandler.aspx頁

  2. SAMLHandler.aspx驗證令牌SAML 2.0(簽名),並從檢索要求的集合它

  3. 基於聲明的集合,我創建了v1.1中由Sharepoint支持的SAML令牌,並且此令牌由一些帶有密碼的證書(此證書被添加到Sharepoint Manage Trust存儲)簽名。

  4. 此SAML令牌v1.1打包在WIF消息中併發送到可識別聲明的Sharepoint,最終用戶通過身份驗證 可以嗎?

來源

2013-03-09 user2151581

回答

0

您可以使用像ACS(天青控制服務)解決方案,而不是SAMLHandler.aspx,在結果你將不得不處理一個以上的IDP和不斷創造的單點登錄能力。

基本上你的解決方案看起來不錯,但重新顛倒現有的東西。

來源

2013-03-09 16:52:01

+0

好的,但我不得不使用IDP授權頁面,但是當我想要訪問授權頁面時,我必須在POST SAMLRequest中發送簽名,然後IDP驗證我並授予我訪問此頁面的權限。之後,這個IDP給我SAMLResponse,我將通過SAMLHandler.aspx處理,所以ACS我認爲在這種情況下是不行的? – user2151581 2013-03-10 07:14:04

+0

因此,IDP代理是該處理程序,並且我正在使用Sharepoint的STS進行用戶授權過程,所以我的ISSUER現在不是原來的發送SAMLResponse的IDP,而是我在哪裏創建SAML 1.1的Sharepoint? – user2151581 2013-03-10 07:27:53

+0

任何人都知道這是一個很好的方法,它可以像我上面描述的那樣解決? Thanx任何額外的信息。 – user2151581 2013-03-11 06:16:19

0

您可以查看安全令牌服務。它可以用來交換一個安全令牌與另一個安全令牌。在你的情況下,你需要將SAML 2.0令牌與SAML 1.1令牌交換。安全令牌服務還支持令牌驗證和令牌簽名。

來源

2013-03-10 02:50:28 fajarkoe

+0

好的,但在這種情況下,Sharepoint中的STS必須簽署該令牌,而不是任何外部IDP,因爲SAMLHandler.aspx已添加到存在Sharepoint實例的IIS中。最後,這個處理程序從SAML 2.0轉換到SAML 1.1並簽署這個令牌任何證書?所以我的問題是,我應該在SAML 1.1中使用任何正確的證書還是無所謂,所以這個SAMLHandler在這裏工作就像IDP代理或者那樣。感謝任何信息 – user2151581 2013-03-10 07:09:18

相關問題

 相關問題