將SAML令牌傳遞到Web API調用

Question

我有一個通過ADFS進行身份驗證的Web應用程序和Web API服務。它們包含在同一個IIS應用程序中，並且Web應用程序可以毫無問題地回調Web API服務。

我現在試圖從不同的應用程序調用相同的服務，但在傳遞令牌時遇到問題。我可以用下面的代碼進行驗證和檢索SAML令牌：

var stsEndpoint = "https://MyAdfsServer/adfs/services/trust/13/UsernameMixed"; 
var reliantPartyUri = "https://MyDomain/AppRoot/"; 

var factory = new Microsoft.IdentityModel.Protocols.WSTrust.WSTrustChannelFactory(
      new UserNameWSTrustBinding(SecurityMode.TransportWithMessageCredential), 
      new EndpointAddress(stsEndpoint)); 

factory.TrustVersion = System.ServiceModel.Security.TrustVersion.WSTrust13; 

// Username and Password here... 
factory.Credentials.UserName.UserName = @"Domain\UserName"; 
factory.Credentials.UserName.Password = "Password"; 

var rst = new RequestSecurityToken 
    { 
     RequestType = RequestTypes.Issue, 
     AppliesTo = new EndpointAddress(reliantPartyUri), 
     KeyType = KeyTypes.Bearer, 
    }; 

var channel = factory.CreateChannel(); 
var token = channel.Issue(rst) as GenericXmlSecurityToken; 

var saml = token.TokenXml.OuterXml; 

但是，我不知道如何通過SAML到Web API調用。我試過這個：

using (var handler = new HttpClientHandler() 
    { 
     ClientCertificateOptions = ClientCertificateOption.Automatic, 
     AllowAutoRedirect = false 
    }) 
{ 
    using (var client = new HttpClient(handler)) 
    { 
     client.BaseAddress = new Uri("https://MyDomain/AppRoot/api/"); 

     client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("SAML", saml); 

     HttpResponseMessage response = client.GetAsync("MyService/Get/").Result; 

     // Get the results... 
     var result = response.Content.ReadAsStringAsync().Result; 
     var status = response.StatusCode; 
    } 
} 

這是返回狀態碼302並嘗試將我重定向到ADFS服務器進行身份驗證。是否有另一種方式將SAML令牌傳遞給Web api服務？

Answer 1

我一直在處理同樣的挑戰。問題的核心在於SAML是基於SOAP的規範;它旨在跨多個SOAP處理節點進行消息保護，而不考慮傳輸。

另一方面，REST是關於運輸。因此，REST端點的安全性基於傳輸安全（例如SSL）。

我們實施了一個「黑客」，我們使用NetworkCredential和固定用戶名（如「saml_user」）並將密碼設置爲SAML令牌。但這是短期的事情。你真的想在每次通話中添加8到10 KB嗎？

簡單Web令牌更適合REST安全。事實上，Microsoft的基於聲明的身份和訪問控制指南（第二版）有一整章致力於從SAML令牌提供者到簡單Web令牌的橋接。見Accessing REST Services from a Windows Phone Device。

Answer 2

（SET）

  string samlString = "blah blah blah"; 

      byte[] bytes = Encoding.UTF8.GetBytes(samlString); 

      string base64SamlString = Convert.ToBase64String(bytes); 

      myHttpClient.DefaultRequestHeaders.Add("X-My-Custom-Header", base64SamlString); 

（GET）

 IEnumerable<string> headerValues = request.Headers.GetValues("X-My-Custom-Header"); 

     if (null != headerValues) 

     { 

      var encoding = Encoding.GetEncoding("iso-8859-1"); 

      string samlToken = encoding.GetString(Convert.FromBase64String(headerValues.FirstOrDefault())); 

     }