我在代码中对ADFS进行身份验证并获得解密的SamlSecurityToken:
var factory = new WSTrustChannelFactory(
new UserNameWSTrustBinding(SecurityMode.TransportWithMessageCredential),
"https://my-adfs-domain.com/adfs/services/trust/13/UserNameMixed")
{
TrustVersion = System.ServiceModel.Security.TrustVersion.WSTrust13,
Credentials =
{
UserName =
{
UserName = "username",
Password = "password"
}
}
};
var token = (GenericXmlSecurityToken)factory.CreateChannel().Issue(
new RequestSecurityToken
{
RequestType = RequestTypes.Issue,
AppliesTo = new EndpointAddress("https://my-service-domain.com"),
KeyType = KeyTypes.Symmetric,
RequestDisplayToken = true
});
SamlSecurityToken decryptedToken;
using (var stream = new MemoryStream())
{
using (var writer = XmlWriter.Create(stream))
token.TokenXml.WriteTo(writer);
stream.Seek(0, SeekOrigin.Begin);
using (var reader = XmlReader.Create(stream))
decryptedToken = (SamlSecurityToken)FederatedAuthentication
.FederationConfiguration.IdentityConfiguration
.SecurityTokenHandlers.ReadToken(reader);
}
var userEmail = decryptedToken.Assertion.Statements
.OfType<SamlAttributeStatement>().Single()
.Attributes[0].AttributeValues[0];
作为下一步,我将从发布的令牌中读取声明(例如用户电子邮件)。
我可以通过上面的代码提取部分相关信息。
但是,我正在寻找一种更直接,更安全的方法来从已发布的SamlSecurityToken中提取完整的声明列表。
答案 0 :(得分:3)
到目前为止,阅读这些声明的最简单方法是使用Saml2SecurityTokenHandler的内置Validate方法。这会将您的安全令牌转换为ClaimsIdentity对象的列表(通常是1元素列表),而这些对象又是 有一个索赔集合。从头开始配置这样的处理程序可能是一个挑战。因此,您可以使用您用于读取令牌的方法。在FederatedAuthentication上调用ValidateToken .FederationConfiguration.IdentityConfiguration .SecurityTokenHandlers.ValidateToken()获得相同的结果。 Validate方法对于这个转换来说有点奇怪,它让人们搜索它。