我有一個Azure ACS設置。我有幾個IP的配置;其中之一是一個自定義的STS。 「被動」場景 - 使用瀏覽器重定向來將令牌從ip交換到ac並返回到我的RP--就像一個魅力一樣。 在被動情況下,可以使用homerealm將ACS引導至我選擇的IP-STS。
我想知道現在在活動方案中是否可能有類似的東西。更具體地說:我可以通過向ACS提供用戶名和密碼(以及將處理用戶名密碼的IP的某個ID)從ACS獲取令牌。我該如何做一個主動登錄到Windows Azure ACS
(我要保留有關自定義STS知識了我的客戶,所以我不能直接要求定義STS的令牌)
好吧,我找到了。我需要一個雙向過程。首先使用用戶名和密碼在自定義sts上請求令牌(將受衆設置爲acs sts的正確端點)。接下來,將該令牌交換爲由ACS發出的令牌,如:https://stackoverflow.com/questions/13675217/exchange-ip-sts-jwt-token-for-acs-jwt-toke n
活動認證流程不起作用這樣認爲的。憑證不會轉到ACS,而是通過WS-Trust等協議直接轉到IdP。舉一個例子,看看ACS Federated Authentication sample。
ACS支持的協議都不允許憑藉直接建議的方式通過聯合提供程序傳送憑據(因爲這些憑據會暴露給FP),因此ACS支持的協議會造成不必要的安全問題,但事實上這些信用卡應該是最終用戶看不到的,而不是ACS。
好的,謝謝,我明白了。我害怕這樣的事情。 我記得看到一個例子,我描述的場景是作品。這個例子中的區別在於,通過一些「包裝」屬性將windows Kerberos數據傳遞給accesscontrol.windows.net/WRAPv0.9端點的「憑證」。所以我想知道是否可以使用用戶名/密碼。 (我仍然覺得ACS缺少類似於v2/metadata/identityProviders.js的東西來獲取活動場景的端點。) –
對於它的價值,我將解釋我的困惑的來源。如果發現一些使用用戶名和密碼登錄到ACS管理控制檯的示例。這與使用ACS爲回覆方獲取令牌完全不同。我正在談論的示例讓您可以使用OData協議(https:// .accesscontrol.windows.net/v2/mgmt/service)操縱ACS管理用戶界面中的「對象」,而我想要的是答覆的標誌。 –