我能够从ACS中配置的各种身份提供程序检索,解码安全令牌(SWT)。现在我应该 - 根据例子 - 能够做到这一点:
String headerValue = string.Format("WRAP access_token=\"{0}\"", securityToken);
WebClient client = new WebClient();
client.Headers.Add("Authorization", headerValue);
using (Stream stream = client.OpenRead(@"http://xxx.cloudapp.net/xxx.svc/users"))
using (StreamReader reader = new StreamReader(stream))
{
String response = reader.ReadToEnd();
}
在某种意义上,它适用于不存在的端点,例如。因此服务在那里(安全),服务器端的令牌模块和令牌验证器被调用,并且令牌通过。所以不是那样的。但无论如何问题是响应包含登录页面的HTML (其中包含身份提供者列表)。似乎令牌验证是正常的,它仍然不足以保证安全。
我现在该怎么做才能从服务中接收数据?任何提示?
情景:http://tinyurl.com/WcfRestSaml
更新:我已经添加了指向我想要实现的方案图片的链接。
更新2 :好的,我已切换到Saml2,但发生了同样的错误。然后我发现我需要断言来接收访问令牌。所以我做了:
WebClient client = new WebClient { BaseAddress = string.Format("https://{namespace}.accesscontrol.windows.net") };
NameValueCollection parameters = new NameValueCollection
{
{ "wrap_assertion_format", "SAML" },
{ "wrap_assertion", securityToken },
{ "wrap_scope", "http://{our}.cloudapp.net/" }
};
Byte[] responseBytes = client.UploadValues("WRAPv0.9", parameters);
String response = Encoding.UTF8.GetString(responseBytes);
这也会返回另一个错误:
错误:代码:401:SubCode:T0:Detail:ACS50008:SAML令牌是 invalid.:TraceID:1d3774fa-a5e6-3e3b-a5e5-5a0bde6e0771:TimeStamp:2013-06-06 16:18:05Z
但似乎这应该返回我想要的访问令牌。
更新3 :没有任何帮助,无处可收集信息,该死的。我发布了一个完整的令牌,因为有人会发现有些事情是错误的(我已经删除了敏感的信息)。
<Assertion ID="_541a71ba-1e00-478c-8d2b-0beac3a35d35" IssueInstant="2013-06-07T11:38:31.741Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>https://{removed}.accesscontrol.windows.net/</Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<ds:Reference URI="#_541a71ba-1e00-478c-8d2b-0beac3a35d35">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
<ds:DigestValue>{removed}</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>{removed}</ds:SignatureValue>
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>{removed}</X509Certificate>
</X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID>https://www.google.com/accounts/o8/id?id={removed}</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" />
</Subject>
<Conditions NotBefore="2013-06-07T11:38:31.694Z" NotOnOrAfter="2013-06-07T12:38:31.694Z">
<AudienceRestriction>
<Audience>http://{removed}.cloudapp.net/</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
<AttributeValue>{removed}</AttributeValue>
<AttributeValue>https://www.google.com/accounts/o8/id?id={removed}</AttributeValue>
<AttributeValue>{removed}</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider">
<AttributeValue>Google</AttributeValue>
</Attribute>
</AttributeStatement>
</Assertion>
答案 0 :(得分:0)
如上所述:
我们已经通过Microsoft支持解决了这个问题,这是因为服务是在被动联盟背后的事实,而且这个过程显然不是很明显。我通过为SAML2断言令牌创建
<RequestSecurityToken>信封解决了这个问题,这样就可以模拟&#34;模拟&#34;浏览器活动,它运行良好,也可以很好地与被动联合(由于WS-TRUST信封)。首先需要先传递它然后连接到ACS。问题根本不在于访问令牌或SAML断言。正如我所指出的那样,这是因为网站的一部分是在自定义STS联盟的背后。 WS Federation模块阻止接收此令牌。当我将它封装在RequestSecurityToken中以供WS Federation首先进行咀嚼时。然后它在我的问题中提交给了ACS。