WS-Federation sign-in Asp.NET 5 MVC 6 ADFS

Hallo, also ich habe versucht zu erreichen WS-Fed SSO auf meine MVC6 web-Anwendung, die ich gelesen habe, ein bisschen auf die Echtheitsbestätigung und alle zu identifizieren, die meinen Anforderungen. Ich WsFederationAuth also kein oauth noch saml-Protokoll für mich arbeiten würde.

Edit : Nach @Pinpoint Vorschlag, den ich versucht die owin-middleware zu erreichen ist die Verbindung, aber ich werde das volle framework DNX451 eher als DNXCore aber es ist etwas, während der Wartezeit für ws-fed unterstützt zu werden von Vnext.

Pinpoint adapter-Erweiterung:

 public static class AppBuilderExtensions
    {
#if !DNXCORE50
        public static IApplicationBuilder UseOwinAppBuilder(this IApplicationBuilder app,
            Action<IAppBuilder> configuration)
        {
            if (app == null)
            {
                throw new ArgumentNullException(nameof(app));
            }

            if (configuration == null)
            {
                throw new ArgumentNullException(nameof(configuration));
            }


            return app.UseOwin(setup => setup(next =>
            {
                var builder = new AppBuilder();
                var lifetime = (IApplicationLifetime) app.ApplicationServices.GetService(typeof (IApplicationLifetime));

                var properties = new AppProperties(builder.Properties);
                properties.AppName = app.ApplicationServices.GetApplicationUniqueIdentifier();
                properties.OnAppDisposing = lifetime.ApplicationStopping;
                properties.DefaultApp = next;

                configuration(builder);

                return builder.Build<Func<IDictionary<string, object>, Task>>();
            }));
        }
#endif
    }

Und in startup.cs :

    #if !DNXCORE50
            app.UseOwinAppBuilder(owin =>
            {
                owin.UseWsFederationAuthentication(new WsFederationAuthenticationOptions
                {
                    MetadataAddress =
                        "https://mysite.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml",
                    Wtrealm = "http://localhost:62569/",
                    SignInAsAuthenticationType = WsFederationAuthenticationDefaults.AuthenticationType,
                    AuthenticationType = "adfs",
                    SecurityTokenHandlers = new SecurityTokenHandlerCollection
                    {
                        new EncryptedSecurityTokenHandler
                        {
                            Configuration = new SecurityTokenHandlerConfiguration
                            {
                                IssuerTokenResolver = new X509CertificateStoreTokenResolver(StoreName.My,
                                    StoreLocation.LocalMachine)
                            }
                        },
                        new Saml2SecurityTokenHandler
                        {
                            CertificateValidator = X509CertificateValidator.None,

                        }
                    }
                });
            });
#endif

Kann ich das Gefühl, ich bin näher an einer Lösung, aber es ist noch nicht fertig. Ich habe Probleme im Umgang mit dem token (nach der Authentifizierung gegen den adfs)

Bekomme ich diesen Fehler mit afaiu die token:

SecurityTokenValidationException: IDX10201: Keiner der die SecurityTokenHandlers Lesen konnte, die "securityToken':

<Assertion ID="_851fc402-2e9c-4ff8-a743-7d65612255b9" IssueInstant="2015-06-22T16:16:03.852Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>https://mysite.accesscontrol.windows.net/</Issuer>
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:SignedInfo>
            <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
            <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
            <ds:Reference URI="#_851fc402-2e9c-4ff8-a743-7d65612255b9">
                <ds:Transforms>
                    <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                    <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                </ds:Transforms>
                <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
                <ds:DigestValue>xZdzOnNIG5Ia***********t0feMWIZMLnY=</ds:DigestValue>
            </ds:Reference>
        </ds:SignedInfo>
        <ds:SignatureValue>KmuScnZBdxyaAJrfLgB9AYheUdR*****************************Xs4o8R+eMCPdWNsDjhLu500UlCgitYerjpLTTyRRdwvFo8T7LlsXO2yjv3dx83Yn+GthE+FswNRH07yIHF5wo5+/TAwiVzg+9SDbK+Nj84PdLMxwIfALAebf4/ECdpqkWvt2ligzFoQckEgZMRepOcAVfBxfELyJSUDAjnpfJCrlCQip0nykC+5R37X00flIlB563p48veeLIt0JaUdG4bwtQ8OCMg1KeD5gYix9p4E3TQ7QovN0HDoWTurLK/0H01IS73fIe6/k6DBA==</ds:SignatureValue>
        <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
            <X509Data>
                <X509Certificate>MIIDSjCCAjagAwIBAgIQrcBhMtovuJ**********************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</X509Certificate>
            </X509Data>
        </KeyInfo>
    </ds:Signature>
    <Subject>
        <NameID>***********</NameID>
        <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" />
    </Subject>
    <Conditions NotBefore="2015-06-22T16:16:03.836Z" NotOnOrAfter="2015-06-22T17:16:03.836Z">
        <AudienceRestriction>
            <Audience>http://localhost:62569/</Audience>
        </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
        <Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid">
            <AttributeValue>********************</AttributeValue>
        </Attribute>
        <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
            <AttributeValue>************</AttributeValue>
        </Attribute>
        <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
            <AttributeValue>G****l</AttributeValue>
        </Attribute>
        <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
            <AttributeValue>L****s</AttributeValue>
        </Attribute>
        <Attribute Name="http://schemas.microsoft.com/identity/claims/identityprovider">
            <AttributeValue>https://sts.windows.net/7102feaa-34af-4756-85ce-b0f69766d78d/</AttributeValue>
        </Attribute>
        <Attribute Name="http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider">
            <AttributeValue>https://sts.windows.net/7102feaa-34af-4756-85ce-b0f69766d78d/</AttributeValue>
        </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2015-06-22T14:26:14.020Z">
        <AuthnContext>
            <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
        </AuthnContext>
    </AuthnStatement>
</Assertion>

InformationsquelleAutor Lomithrani | 2015-06-18

3

Wie Sie bereits herausgefunden, das WS-Federation-middleware wurde nicht portiert ASP.NET 5 noch nicht, aber keine Panik, es wird auf jeden Fall: https://twitter.com/blowdart/status/610526268908535808

In der Zwischenzeit können Sie die OWIN/Katana 3 WS-Federation-middleware in einer ASP.NET 5 Applikation mit einem kleinen IAppBuilder/IApplicationBuilder adapter (wie dieser: https://github.com/aspnet-contrib/AspNet.Security.OpenIdConnect.Server/blob/vNext/samples/Mvc/Mvc.Server/Extensions/AppBuilderExtensions.cs#L50), aber natürlich ist es nicht kompatibel mit dnxcore50.

Wenn Sie eine aktuelle ADFS version, man könnte auch erwägen, Umstellung auf OAuth2.
- In diesem Fall würde ADFS-der identity provider?
- Yep, wenn "identity-provider" ist eher eine OpenID Connect-Begriff, der nicht unterstützt wird von ADFS (im Gegensatz zu cloud-Gegenstück: AAD). "authorization server" wäre die genaue Bezeichnung in diesem Fall.
- Vielen Dank für dieses @Pinpoint , ich werde in am Montag (ich bin eine sehr motivierte Praktikant, aber es gibt Grenzen, bis zu meiner motivation :D). Ich auf jeden Fall verwenden möchten, OAuth2, aber mein Chef will das nicht tun, keine änderungen auf den ADFS-Teil, den ich noch anpassen, alles auf den vorhandenen Teil, damit durch die Verwendung von ws-federation. Ich habe versucht, ihm zu sagen, dass IMO ws-fed alt war, tech und als er sich darauf, über die Verwendung .NET5 und all die neuen Sachen so, das war nicht logisch zu bleiben, um eine alte tech für nur ein Aspekt des Projektes. Aber er irgendwie hat mir nur gesagt, ich war faul und wollte mal ein workaround...
- Ich habe noch zu verstehen, wie mit meinem Token, aber es läuft gut so weit. Wissen Sie, wo ich konnte in diesem Blick, bekomme ich "Der Schlüssel zum überprüfen der Signatur konnte nicht aufgelöst werden von den folgenden Sicherheits-Schlüssel-id ". Ich habe versucht, ein paar Dinge, aber ich finde nicht die Stelle, wo all das erklärt wird, um nicht nur versuchen, Sachen.
- Aus Neugier, welche Saml2SecurityTokenHandler verwenden Sie genau? Der von System.IdentityModel (im Lieferumfang der .NET framework) oder die Microsoft.IdentityModel.Tokens unterstützt TokenValidationParameters? github.com/AzureAD/...
- Ich denke, dass ich eigentlich beides ausprobiert. (Ich habe versucht, ein paar Sachen), aber ich ging zurück zu mvc 5, die stimmiger wirken für eine prod-Umgebung. Ich muss gehen für SOA und hatte Probleme mit wcf sowie in asp.net 5. Aber ich habe genau die gleichen Fehler in mvc5 (aber nochmal ich mit der gleichen middleware-also ich denke, es ist ziemlich normal)
- Stellte sich heraus, es war, weil es nicht adfs es war ACS-ich war mit. Also die Metadaten hatte nicht genügend Informationen, ich hatte meine eigenen bauen, token-handler, und es scheint gut zu funktionieren.
- Pflege zu gist Ihre endgültige Lösung?
- Ich habe fertig, dieses Praktikum also kann ich leider nicht. Punkt ist die oben genannte Lösung ist meist der trick ist einfach zu verstehen, und erstellen Sie Ihre eigenen token-handler.
InformationsquelleAutor Kévin Chalet

Fand ich heraus, wie man Ansprüche aus der http-Anforderung auf dem Rückweg von ADFS mit dem vor ASP.NET Klassen in einer Weise, die nicht touch-web.config.

Hoffentlich dieser code ist nützlich, um jemanden:

using Microsoft.AspNet.Http;
using Microsoft.Extensions.Configuration;
using System;
using System.Collections.Specialized;
using System.IdentityModel.Configuration;
using System.IdentityModel.Protocols.WSTrust;
using System.IdentityModel.Selectors;
using System.IdentityModel.Services;
using System.IdentityModel.Tokens;
using System.IO;
using System.Security.Claims;
using System.Security.Cryptography.X509Certificates;
using System.ServiceModel.Security;
using System.Text;
using System.Xml;

public class FederationHelper
{
    public ClaimsIdentity GetClaimsIdentityFromResponse(IConfigurationRoot configurationRoot, HttpContext context)
    {
        var absoluteUri = string.Concat(
                    context.Request.Scheme,
                    "://",
                    context.Request.Host.ToUriComponent(),
                    context.Request.PathBase.ToUriComponent(),
                    context.Request.Path.ToUriComponent(),
                    context.Request.QueryString.ToUriComponent());

        var values = new NameValueCollection();

        foreach (var item in context.Request.Query)
        {
            values.Add(item.Key, item.Value);
        }

        foreach (var item in context.Request.Form)
        {
            values.Add(item.Key, item.Value);
        }

        var federation = new FederationSettings
        {
            AudienceUri = "http://contoso",
            Endpoint = "http://sts/ls",
            IssuerName = "http://sts/trust",
            IssuerThumbprint = "[thumbprint]",
            Realm = "https://myapp"
        };

        var identityConfiguration = new IdentityConfiguration(false);
        identityConfiguration.AudienceRestriction.AllowedAudienceUris.Add(new Uri(federation.AudienceUri));

        var issuers = new ConfigurationBasedIssuerNameRegistry();
        issuers.ConfiguredTrustedIssuers.Add(federation.IssuerThumbprint, federation.IssuerName);
        identityConfiguration.IssuerNameRegistry = issuers;

        var tokenHandler = new SamlSecurityTokenHandler();

        tokenHandler.Configuration = new SecurityTokenHandlerConfiguration();
        tokenHandler.Configuration.AudienceRestriction.AudienceMode = AudienceUriMode.Always;
        tokenHandler.Configuration.AudienceRestriction.AllowedAudienceUris.Add(new Uri(federation.AudienceUri));
        tokenHandler.Configuration.IssuerNameRegistry = identityConfiguration.IssuerNameRegistry;
        tokenHandler.Configuration.CertificateValidationMode = X509CertificateValidationMode.None;
        tokenHandler.Configuration.RevocationMode = X509RevocationMode.NoCheck;
        tokenHandler.Configuration.CertificateValidator = X509CertificateValidator.None;

        var message = (SignInResponseMessage)WSFederationMessage.CreateFromNameValueCollection(new Uri(absoluteUri), values);
        var token = CreateSecurityToken(tokenHandler, identityConfiguration, message);
        var claims = tokenHandler.ValidateToken(token);

        return claims[0];
    }

    public SecurityToken CreateSecurityToken(SamlSecurityTokenHandler handler, IdentityConfiguration configuration, SignInResponseMessage message)
    {
        var quotas = new XmlDictionaryReaderQuotas();

        using (var reader = XmlDictionaryReader.CreateTextReader(Encoding.UTF8.GetBytes(message.Result), quotas))
        {
            var serializer = new WSFederationSerializer(reader);
            var context = new WSTrustSerializationContext(configuration.SecurityTokenHandlerCollectionManager);

            var xml = serializer.CreateResponse(message, context).RequestedSecurityToken.SecurityTokenXml.OuterXml;

            return ReadToken(handler, xml, quotas);
        }
    }

    SecurityToken ReadToken(SamlSecurityTokenHandler handler, string xml, XmlDictionaryReaderQuotas quotas)
    {
        using (var reader = new StringReader(xml))
        {
            using (var xmlReader = XmlReader.Create(reader))
            {
                xmlReader.MoveToContent();

                return handler.ReadToken(xmlReader);
            }
        }
    }
}

Sieht aus wie eine Menge, was ich getan hatte, das Ende von dem, was ich erinnere mich, @fiat sollten Sie überprüfen, dass

InformationsquelleAutor tomtg

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.