创建令牌以在RP应用程序中进行身份验证
我在Sharepoint中创建了一些身份验证模型。我想从你那里知道这是不错的做法。创建令牌以在RP应用程序中进行身份验证
我们有一些IDP在2.0版本中发送POST SAML令牌,但RP应用程序不支持该版本中的SAML,但是在V1.1中。
我此,例如模型创建:
IDP发送SAML 2.0至SAMLHandler.aspx页
SAMLHandler.aspx验证令牌SAML 2.0(签名),并从检索要求的集合它
基于声明的集合,我创建了v1.1中由Sharepoint支持的SAML令牌,并且此令牌由一些带有密码的证书(此证书被添加到Sharepoint Manage Trust存储)签名。
此SAML令牌v1.1打包在WIF消息中并发送到可识别声明的Sharepoint,最终用户通过身份验证 可以吗?
您可以使用像ACS(天青控制服务)解决方案,而不是SAMLHandler.aspx,在结果你将不得不处理一个以上的IDP和不断创造的单点登录能力。
基本上你的解决方案看起来不错,但重新颠倒现有的东西。
您可以查看安全令牌服务。它可以用来交换一个安全令牌与另一个安全令牌。在你的情况下,你需要将SAML 2.0令牌与SAML 1.1令牌交换。安全令牌服务还支持令牌验证和令牌签名。
好的,但在这种情况下,Sharepoint中的STS必须签署该令牌,而不是任何外部IDP,因为SAMLHandler.aspx已添加到存在Sharepoint实例的IIS中。最后,这个处理程序从SAML 2.0转换到SAML 1.1并签署这个令牌任何证书?所以我的问题是,我应该在SAML 1.1中使用任何正确的证书还是无所谓,所以这个SAMLHandler在这里工作就像IDP代理或者那样。感谢任何信息 – user2151581 2013-03-10 07:09:18
好的,但我不得不使用IDP授权页面,但是当我想要访问授权页面时,我必须在POST SAMLRequest中发送签名,然后IDP验证我并授予我访问此页面的权限。之后,这个IDP给我SAMLResponse,我将通过SAMLHandler.aspx处理,所以ACS我认为在这种情况下是不行的? – user2151581 2013-03-10 07:14:04
因此,IDP代理是该处理程序,并且我正在使用Sharepoint的STS进行用户授权过程,所以我的ISSUER现在不是原来的发送SAMLResponse的IDP,而是我在哪里创建SAML 1.1的Sharepoint? – user2151581 2013-03-10 07:27:53
任何人都知道这是一个很好的方法,它可以像我上面描述的那样解决? Thanx任何额外的信息。 – user2151581 2013-03-11 06:16:19