Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma obsahuje stručný přehled konceptu federovaného zabezpečení. Popisuje také podporu Technologie WCF (Windows Communication Foundation) pro nasazení federovaných architektur zabezpečení. Najdete ukázkovou aplikaci, která demonstruje federaci, v Ukázka federace.
Definice federovaného zabezpečení
Federované zabezpečení umožňuje čisté oddělení mezi službou, ke které klient přistupuje, a přidruženými ověřovacími a autorizačními postupy. Federované zabezpečení také umožňuje spolupráci v různých systémech, sítích a organizacích v různých sférách důvěryhodnosti.
WCF poskytuje podporu pro sestavování a nasazování distribuovaných systémů, které využívají federované zabezpečení.
Prvky architektury federovaného zabezpečení
Architektura federovaného zabezpečení má tři klíčové prvky, jak je popsáno v následující tabulce.
| prvek | Popis |
|---|---|
| Doména nebo sféra | Jedna jednotka správy zabezpečení nebo důvěryhodnosti. Typická doména může zahrnovat jednu organizaci. |
| Federace | Kolekce domén, které si vytvořily důvěru. Úroveň důvěryhodnosti se může lišit, ale obvykle zahrnuje ověřování a téměř vždy zahrnuje autorizaci. Typická federace může zahrnovat řadu organizací, které si vytvořily vztah důvěryhodnosti pro sdílený přístup k sadě prostředků. |
| Služba tokenů zabezpečení (STS) | Webová služba, která vydává bezpečnostní tokeny; to znamená, že dělá tvrzení na základě důkazů, kterým důvěřuje, komukoli, kdo mu důvěřuje. To tvoří základ pro zprostředkování důvěryhodnosti mezi doménami. |
Ukázkový scénář
Následující obrázek ukazuje příklad federovaného zabezpečení:
Tento scénář zahrnuje dvě organizace: A a B. Organizace B má webový prostředek (webovou službu), kterou někteří uživatelé v organizaci A hledají cenné.
Poznámka:
V této části se zaměnitelně používají výrazy prostředek, služba a webová služba.
Organizace B obvykle vyžaduje, aby uživatel z organizace A před přístupem ke službě zadal určitou platnou formu ověřování. Kromě toho může organizace vyžadovat, aby uživatel byl autorizovaný pro přístup ke konkrétnímu prostředku. Jedním ze způsobů, jak tento problém vyřešit a umožnit uživatelům v organizaci A přístup k prostředku v organizaci B, je následující:
Uživatelé z organizace A zaregistrují svoje přihlašovací údaje (uživatelské jméno a heslo) v organizaci B.
Během přístupu k prostředkům předkládají uživatelé z organizace A své přihlašovací údaje organizaci B a před přístupem k prostředku se ověřují.
Tento přístup má tři významné nevýhody:
Organizace B musí kromě správy přihlašovacích údajů místních uživatelů spravovat přihlašovací údaje pro uživatele z organizace A.
Uživatelé v organizaci A musí udržovat další sadu přihlašovacích údajů (to znamená pamatovat si další uživatelské jméno a heslo) kromě přihlašovacích údajů, které obvykle používají k získání přístupu k prostředkům v organizaci A. To obvykle podporuje postup použití stejného uživatelského jména a hesla na více lokalitách služeb, což je slabé bezpečnostní opatření.
Architektura se neškáluje, protože více organizací vnímá prostředek v organizaci B jako určitou hodnotu.
Alternativním přístupem, který řeší dříve zmíněné nevýhody, je použití federovaného zabezpečení. V tomto přístupu organizace A a B vytvářejí vztah důvěryhodnosti a využívají službu tokenů zabezpečení (STS) k umožnění zprostředkování zavedeného vztahu důvěryhodnosti.
V architektuře federovaného zabezpečení uživatelé z organizace A vědí, že pokud chtějí získat přístup k webové službě v organizaci B, musí předložit platný token zabezpečení ze služby ZABEZPEČENÍ v organizaci B, který ověřuje a autorizuje jejich přístup ke konkrétní službě.
Při kontaktování služby STS B obdrží uživatelé další úroveň nepřímé vrstvy ze zásad přidružených ke službě STS. Musí předložit platný token zabezpečení ze služby STS A (tj. sféry důvěryhodnosti klienta) předtím, než je služba STS B může vydat token zabezpečení. Toto je důsledek vztahu důvěry mezi těmito dvěma organizacemi a znamená, že organizace B nemusí spravovat identity pro uživatele z organizace A. V praxi má služba STS B obvykle hodnotu null issuerAddress a issuerMetadataAddress. Další informace naleznete v tématu Jak na to: Konfigurace místního vystavitele. V takovém případě klient konzultuje místní zásady, aby našel STS A. Tato konfigurace se nazývá federace domovské sféry a škáluje lépe, protože služba STS B nemusí udržovat informace o službě STS A.
Uživatelé pak kontaktují službu stS v organizaci A a získávají token zabezpečení tím, že předkládají ověřovací přihlašovací údaje, které obvykle používají k získání přístupu k jakémukoli jinému prostředku v organizaci A. To také snižuje problém uživatelů, kteří musí udržovat více sad přihlašovacích údajů nebo používat stejnou sadu přihlašovacích údajů na více lokalitách služeb.
Jakmile uživatelé obdrží token zabezpečení od STS A, předají tento token STS B. Organizace B následně provede autorizaci požadavků uživatelů a vydá zabezpečovací token uživatelům ze své vlastní sady tokenů. Uživatelé pak mohou předložit svůj token ke prostředku v organizaci B a získat přístup ke službě.
Podpora federovaného zabezpečení ve WCF
WCF poskytuje podporu pro nasazení federovaných architektur zabezpečení prostřednictvím <wsFederationHttpBinding>.
Element <wsFederationHttpBinding> poskytuje zabezpečenou, spolehlivou a interoperabilní vazbu, která zahrnuje použití protokolu HTTP jako základního přenosového mechanismu pro styl komunikace s odpověďmi požadavku, použití textu a XML jako přenosového formátu pro kódování.
Použití wsFederationHttpBinding<> ve scénáři federovaného zabezpečení je možné oddělit do dvou logicky nezávislých fází, jak je popsáno v následujících částech.
Fáze 1: Fáze návrhu
Během fáze návrhu klient používá nástroj ServiceModel Metadata Utility (Svcutil.exe) ke čtení zásad, které koncový bod služby zveřejňuje, a ke shromažďování požadavků na ověřování a autorizaci služby. Příslušné proxy servery jsou vytvořené tak, aby v klientovi vytvořily následující model komunikace federovaného zabezpečení:
Získejte bezpečnostní token ze služby vydávání tokenů zabezpečení (STS) v oblasti důvěryhodnosti klienta.
Prezentujte token službě STS v sférě důvěryhodnosti služby.
Získejte token zabezpečení ze služby STS v sférě důvěryhodnosti služby.
Prezentujte token službě pro přístup ke službě.
Fáze 2: fáze Run-Time
Během fáze modulu runtime klient vytvoří instanci objektu třídy klienta WCF a provede volání pomocí klienta WCF. Základní architektura WCF zpracovává dříve uvedené kroky v modelu komunikace federovaného zabezpečení a umožňuje klientovi bezproblémově využívat službu.
Ukázková implementace pomocí WCF
Následující obrázek znázorňuje ukázkovou implementaci federované architektury zabezpečení pomocí nativní podpory wcf.
Příklad MyService
Služba MyService zveřejňuje jeden koncový bod prostřednictvím MyServiceEndpoint. Následující obrázek znázorňuje adresu, vazbu a kontrakt přidružený ke koncovému bodu.
Koncový bod MyServiceEndpoint služby používá <wsFederationHttpBinding> a vyžaduje platný token SAML (Security Assertions Markup Language) s accessAuthorized nárokem vystaveným službou STS B. To je deklarativně specifikováno v konfiguraci služby.
<system.serviceModel>
<services>
<service type="FederationSample.MyService"
behaviorConfiguration='MyServiceBehavior'>
<endpoint address=""
binding=" wsFederationHttpBinding"
bindingConfiguration='MyServiceBinding'
contract="Federation.IMyService" />
</service>
</services>
<bindings>
<wsFederationHttpBinding>
<!-- This is the binding used by MyService. It redirects
clients to STS-B. -->
<binding name='MyServiceBinding'>
<security mode="Message">
<message issuedTokenType=
"http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1">
<issuer address="http://localhost/FederationSample/STS-B/STS.svc" />
<issuerMetadata
address=
"http://localhost/FederationSample/STS-B/STS.svc/mex" />
<requiredClaimTypes>
<add claimType="http://tempuri.org:accessAuthorized" />
</requiredClaimTypes>
</message>
</security>
</binding>
</wsFederationHttpBinding>
</bindings>
<behaviors>
<behavior name='MyServiceBehavior'>
<serviceAuthorization
operationRequirementType="FederationSample.MyServiceOperationRequirement, MyService" />
<serviceCredentials>
<serviceCertificate findValue="CN=FederationSample.com"
x509FindType="FindBySubjectDistinguishedName"
storeLocation='LocalMachine'
storeName='My' />
</serviceCredentials>
</behavior>
</behaviors>
</system.serviceModel>
Poznámka:
Je třeba poznamenat jemný bod o nárocích, které MyService vyžaduje. Druhý obrázek označuje, že MyService vyžaduje token SAML s deklarací accessAuthorized. Přesněji řečeno určuje typ nároku, který MyService vyžaduje. Plně kvalifikovaný název tohoto typu deklarace identity je http://tempuri.org:accessAuthorized (spolu s přidruženým oborem názvů), který se používá v konfiguračním souboru služby. Hodnota tohoto nároku označuje přítomnost tohoto nároku a předpokládá se, že je nastavena na true službou STS B.
Za běhu je tato zásada vynucena MyServiceOperationRequirement třídou, která je implementována jako součást MyService.
using System.Collections.Generic;
using System.IdentityModel.Claims;
using System.IdentityModel.Policy;
using System.IdentityModel.Tokens;
using System.Security.Cryptography.X509Certificates;
using System.ServiceModel;
Imports System.Collections.Generic
Imports System.IdentityModel.Claims
Imports System.IdentityModel.Policy
Imports System.IdentityModel.Tokens
Imports System.Security.Cryptography.X509Certificates
Imports System.ServiceModel
Imports System.ServiceModel.Channels
Imports System.ServiceModel.Security.Tokens
Imports System.Text
public class myServiceAuthorizationManager : ServiceAuthorizationManager
{
// Override the CheckAccess method to enforce access control requirements.
public override bool CheckAccess(OperationContext operationContext)
{
AuthorizationContext authContext =
operationContext.ServiceSecurityContext.AuthorizationContext;
if (authContext.ClaimSets == null) return false;
if (authContext.ClaimSets.Count != 1) return false;
ClaimSet myClaimSet = authContext.ClaimSets[0];
if (!IssuedBySTS_B(myClaimSet)) return false;
if (myClaimSet.Count != 1) return false;
Claim myClaim = myClaimSet[0];
if (myClaim.ClaimType ==
"http://www.tmpuri.org:accessAuthorized")
{
string resource = myClaim.Resource as string;
if (resource == null) return false;
if (resource != "true") return false;
return true;
}
else
{
return false;
}
}
// This helper method checks whether SAML Token was issued by STS-B.
// It compares the Thumbprint Claim of the Issuer against the
// Certificate of STS-B.
private bool IssuedBySTS_B(ClaimSet myClaimSet)
{
ClaimSet issuerClaimSet = myClaimSet.Issuer;
if (issuerClaimSet == null) return false;
if (issuerClaimSet.Count != 1) return false;
Claim issuerClaim = issuerClaimSet[0];
if (issuerClaim.ClaimType != ClaimTypes.Thumbprint)
return false;
if (issuerClaim.Resource == null) return false;
byte[] claimThumbprint = (byte[])issuerClaim.Resource;
// It is assumed that stsB_Certificate is a variable of type
// X509Certificate2 that is initialized with the Certificate of
// STS-B.
X509Certificate2 stsB_Certificate = GetStsBCertificate();
byte[] certThumbprint = stsB_Certificate.GetCertHash();
if (claimThumbprint.Length != certThumbprint.Length)
return false;
for (int i = 0; i < claimThumbprint.Length; i++)
{
if (claimThumbprint[i] != certThumbprint[i]) return false;
}
return true;
}
Public Class myServiceAuthorizationManager
Inherits ServiceAuthorizationManager
' Override the CheckAccess method to enforce access control requirements.
Public Overloads Overrides Function CheckAccess(ByVal operationContext As OperationContext) As Boolean
Dim authContext = operationContext.ServiceSecurityContext.AuthorizationContext
If authContext.ClaimSets Is Nothing Then
Return False
End If
If authContext.ClaimSets.Count <> 1 Then
Return False
End If
Dim myClaimSet = authContext.ClaimSets(0)
If Not IssuedBySTS_B(myClaimSet) Then
Return False
End If
If myClaimSet.Count <> 1 Then
Return False
End If
Dim myClaim = myClaimSet(0)
If myClaim.ClaimType = "http://www.tmpuri.org:accessAuthorized" Then
Dim resource = TryCast(myClaim.Resource, String)
If resource Is Nothing Then
Return False
End If
If resource <> "true" Then
Return False
End If
Return True
Else
Return False
End If
End Function
' This helper method checks whether SAML Token was issued by STS-B.
' It compares the Thumbprint Claim of the Issuer against the
' Certificate of STS-B.
Private Function IssuedBySTS_B(ByVal myClaimSet As ClaimSet) As Boolean
Dim issuerClaimSet = myClaimSet.Issuer
If issuerClaimSet Is Nothing Then
Return False
End If
If issuerClaimSet.Count <> 1 Then
Return False
End If
Dim issuerClaim = issuerClaimSet(0)
If issuerClaim.ClaimType <> ClaimTypes.Thumbprint Then
Return False
End If
If issuerClaim.Resource Is Nothing Then
Return False
End If
Dim claimThumbprint() = CType(issuerClaim.Resource, Byte())
' It is assumed that stsB_Certificate is a variable of type
' X509Certificate2 that is initialized with the Certificate of
' STS-B.
Dim stsB_Certificate = GetStsBCertificate()
Dim certThumbprint() = stsB_Certificate.GetCertHash()
If claimThumbprint.Length <> certThumbprint.Length Then
Return False
End If
For i = 0 To claimThumbprint.Length - 1
If claimThumbprint(i) <> certThumbprint(i) Then
Return False
End If
Next i
Return True
End Function
STS B
Následující obrázek znázorňuje stS B. Jak jsme uvedli dříve, služba tokenů zabezpečení (STS) je také webová služba a může mít přidružené koncové body, zásady atd.
STS B zveřejňuje jeden koncový bod, STSEndpoint, který se dá použít k vyžádání bezpečnostních tokenů. Konkrétně STS B vydává tokeny SAML s accessAuthorized deklarací, které je možné předložit na MyService webu služby. STS B však vyžaduje, aby uživatelé předložili platný token SAML vydaný službou STS A, který obsahuje nárok userAuthenticated. To je deklarativně specifikováno v konfiguraci STS.
<system.serviceModel>
<services>
<service type="FederationSample.STS_B" behaviorConfiguration=
"STS-B_Behavior">
<endpoint address=""
binding="wsFederationHttpBinding"
bindingConfiguration='STS-B_Binding'
contract="FederationSample.ISts" />
</service>
</services>
<bindings>
<wsFederationHttpBinding>
<!-- This is the binding used by STS-B. It redirects clients to
STS-A. -->
<binding name='STS-B_Binding'>
<security mode='Message'>
<message issuedTokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1">
<issuer address='http://localhost/FederationSample/STS-A/STS.svc' />
<issuerMetadata address='http://localhost/FederationSample/STS-A/STS.svc/mex'/>
<requiredClaimTypes>
<add claimType='http://tempuri.org:userAuthenticated'/>
</requiredClaimTypes>
</message>
</security>
</binding>
</wsFederationHttpBinding>
</bindings>
<behaviors>
<behavior name='STS-B_Behavior'>
<serviceAuthorization operationRequirementType='FederationSample.STS_B_OperationRequirement, STS_B' />
<serviceCredentials>
<serviceCertificate findValue='CN=FederationSample.com'
x509FindType='FindBySubjectDistinguishedName'
storeLocation='LocalMachine'
storeName='My' />
</serviceCredentials>
</behavior>
</behaviors>
</system.serviceModel>
Poznámka:
Znovu, nárok userAuthenticated je typ nároku, který vyžaduje STS B. Úplný název tohoto typu nároku je http://tempuri.org:userAuthenticated (spolu s přidruženým oborem názvů), který se používá v konfiguračním souboru STS. Hodnota tohoto tvrzení naznačuje přítomnost tohoto tvrzení a předpokládá se, že je nastavena na true službou STS A.
Za běhu STS_B_OperationRequirement třída vynucuje tuto zásadu, která je implementována jako součást služby STS B.
public class STS_B_AuthorizationManager : ServiceAuthorizationManager
{
// Override AccessCheck to enforce access control requirements.
public override bool CheckAccess(OperationContext operationContext)
{
AuthorizationContext authContext =
operationContext.ServiceSecurityContext.AuthorizationContext;
if (authContext.ClaimSets == null) return false;
if (authContext.ClaimSets.Count != 1) return false;
ClaimSet myClaimSet = authContext.ClaimSets[0];
if (!IssuedBySTS_A(myClaimSet)) return false;
if (myClaimSet.Count != 1) return false;
Claim myClaim = myClaimSet[0];
if (myClaim.ClaimType == "http://www.tmpuri.org:userAuthenticated")
{
string resource = myClaim.Resource as string;
if (resource == null) return false;
if (resource != "true") return false;
return true;
}
else
{
return false;
}
}
// This helper method checks whether SAML Token was issued by STS-A.
// It compares the Thumbprint Claim of the Issuer against the
// Certificate of STS-A.
private bool IssuedBySTS_A(ClaimSet myClaimSet)
{
ClaimSet issuerClaimSet = myClaimSet.Issuer;
if (issuerClaimSet == null) return false;
if (issuerClaimSet.Count != 1) return false;
Claim issuerClaim = issuerClaimSet[0];
if (issuerClaim.ClaimType != ClaimTypes.Thumbprint) return false;
if (issuerClaim.Resource == null) return false;
byte[] claimThumbprint = (byte[])issuerClaim.Resource;
// It is assumed that stsA_Certificate is a variable of type X509Certificate2
// that is initialized with the Certificate of STS-A.
X509Certificate2 stsA_Certificate = GetStsACertificate();
byte[] certThumbprint = stsA_Certificate.GetCertHash();
if (claimThumbprint.Length != certThumbprint.Length) return false;
for (int i = 0; i < claimThumbprint.Length; i++)
{
if (claimThumbprint[i] != certThumbprint[i]) return false;
}
return true;
}
Public Class STS_B_AuthorizationManager
Inherits ServiceAuthorizationManager
' Override AccessCheck to enforce access control requirements.
Public Overloads Overrides Function CheckAccess(ByVal operationContext As OperationContext) As Boolean
Dim authContext = operationContext.ServiceSecurityContext.AuthorizationContext
If authContext.ClaimSets Is Nothing Then
Return False
End If
If authContext.ClaimSets.Count <> 1 Then
Return False
End If
Dim myClaimSet = authContext.ClaimSets(0)
If Not IssuedBySTS_A(myClaimSet) Then
Return False
End If
If myClaimSet.Count <> 1 Then
Return False
End If
Dim myClaim = myClaimSet(0)
If myClaim.ClaimType = "http://www.tmpuri.org:userAuthenticated" Then
Dim resource = TryCast(myClaim.Resource, String)
If resource Is Nothing Then
Return False
End If
If resource <> "true" Then
Return False
End If
Return True
Else
Return False
End If
End Function
' This helper method checks whether SAML Token was issued by STS-A.
' It compares the Thumbprint Claim of the Issuer against the
' Certificate of STS-A.
Private Function IssuedBySTS_A(ByVal myClaimSet As ClaimSet) As Boolean
Dim issuerClaimSet = myClaimSet.Issuer
If issuerClaimSet Is Nothing Then
Return False
End If
If issuerClaimSet.Count <> 1 Then
Return False
End If
Dim issuerClaim = issuerClaimSet(0)
If issuerClaim.ClaimType <> ClaimTypes.Thumbprint Then
Return False
End If
If issuerClaim.Resource Is Nothing Then
Return False
End If
Dim claimThumbprint() = CType(issuerClaim.Resource, Byte())
' It is assumed that stsA_Certificate is a variable of type X509Certificate2
' that is initialized with the Certificate of STS-A.
Dim stsA_Certificate = GetStsACertificate()
Dim certThumbprint() = stsA_Certificate.GetCertHash()
If claimThumbprint.Length <> certThumbprint.Length Then
Return False
End If
For i = 0 To claimThumbprint.Length - 1
If claimThumbprint(i) <> certThumbprint(i) Then
Return False
End If
Next i
Return True
End Function
Pokud je kontrola přístupu úspěšná, služba STS B vydá token SAML s accessAuthorized nárokem.
// Create the list of SAML Attributes.
List<SamlAttribute> samlAttributes = new List<SamlAttribute>();
// Add the accessAuthorized claim.
List<string> strList = new List<string>();
strList.Add("true");
samlAttributes.Add(new SamlAttribute("http://www.tmpuri.org",
"accessAuthorized",
strList));
// Create the SAML token with the accessAuthorized claim. It is assumed that
// the method CreateSamlToken() is implemented as part of STS-B.
SamlSecurityToken samlToken = CreateSamlToken(
proofToken,
issuerToken,
samlConditions,
samlSubjectNameFormat,
samlSubjectEmailAddress,
samlAttributes);
' Create the list of SAML Attributes.
Dim samlAttributes As New List(Of SamlAttribute)()
' Add the accessAuthorized claim.
Dim strList As New List(Of String)()
strList.Add("true")
samlAttributes.Add(New SamlAttribute("http://www.tmpuri.org", "accessAuthorized", strList))
' Create the SAML token with the accessAuthorized claim. It is assumed that
' the method CreateSamlToken() is implemented as part of STS-B.
Dim samlToken = CreateSamlToken(proofToken, _
issuerToken, _
samlConditions, _
samlSubjectNameFormat, _
samlSubjectEmailAddress, _
samlAttributes)
STS A
Následující obrázek znázorňuje stS A.
Podobně jako služba STS B je služba STS A také webová služba, která vydává tokeny zabezpečení a zpřístupňuje pro tento účel jeden koncový bod. Používá ale jinou vazbu (wsHttpBinding) a vyžaduje, aby uživatelé předložily platný CardSpace s deklarací emailAddress. V reakci na to vydává tokeny SAML s nárokem userAuthenticated. Toto je deklarativní zadané v konfiguraci služby.
<system.serviceModel>
<services>
<service type="FederationSample.STS_A" behaviorConfiguration="STS-A_Behavior">
<endpoint address=""
binding="wsHttpBinding"
bindingConfiguration="STS-A_Binding"
contract="FederationSample.ISts">
<identity>
<certificateReference findValue="CN=FederationSample.com"
x509FindType="FindBySubjectDistinguishedName"
storeLocation="LocalMachine"
storeName="My" />
</identity>
</endpoint>
</service>
</services>
<bindings>
<wsHttpBinding>
<!-- This is the binding used by STS-A. It requires users to present
a CardSpace. -->
<binding name='STS-A_Binding'>
<security mode='Message'>
<message clientCredentialType="CardSpace" />
</security>
</binding>
</wsHttpBinding>
</bindings>
<behaviors>
<behavior name='STS-A_Behavior'>
<serviceAuthorization operationRequirementType=
"FederationSample.STS_A_OperationRequirement, STS_A" />
<serviceCredentials>
<serviceCertificate findValue="CN=FederationSample.com"
x509FindType='FindBySubjectDistinguishedName'
storeLocation='LocalMachine'
storeName='My' />
</serviceCredentials>
</behavior>
</behaviors>
</system.serviceModel>
Při běhu programu třída STS_A_OperationRequirement vynucuje tuto zásadu, která se implementuje jako součást služby STS A.
public class STS_A_AuthorizationManager : ServiceAuthorizationManager
{
// Override AccessCheck to enforce access control requirements.
public override bool CheckAccess(OperationContext operationContext)
{
AuthorizationContext authContext =
operationContext.ServiceSecurityContext.AuthorizationContext;
if (authContext.ClaimSets == null) return false;
if (authContext.ClaimSets.Count != 1) return false;
ClaimSet myClaimSet = authContext.ClaimSets[0];
if (myClaimSet.Count != 1) return false;
Claim myClaim = myClaimSet[0];
if ((myClaim.ClaimType ==
@"http://schemas.microsoft.com/ws/2005/05/identity/claims:EmailAddress") &&
(myClaim.Right == Rights.PossessProperty))
{
string emailAddress = myClaim.Resource as string;
if (emailAddress == null) return false;
if (!IsValidEmailAddress(emailAddress)) return false;
return true;
}
else
{
return false;
}
}
// This helper method performs a rudimentary check for whether
//a given email is valid.
private static bool IsValidEmailAddress(string emailAddress)
{
string[] splitEmail = emailAddress.Split('@');
if (splitEmail.Length != 2) return false;
if (!splitEmail[1].Contains(".")) return false;
return true;
}
}
Public Class STS_A_AuthorizationManager
Inherits ServiceAuthorizationManager
' Override AccessCheck to enforce access control requirements.
Public Overloads Overrides Function CheckAccess(ByVal operationContext As OperationContext) As Boolean
Dim authContext = operationContext.ServiceSecurityContext.AuthorizationContext
If authContext.ClaimSets Is Nothing Then
Return False
End If
If authContext.ClaimSets.Count <> 1 Then
Return False
End If
Dim myClaimSet = authContext.ClaimSets(0)
If myClaimSet.Count <> 1 Then
Return False
End If
Dim myClaim = myClaimSet(0)
If myClaim.ClaimType = "http://schemas.microsoft.com/ws/2005/05/identity/claims:EmailAddress" AndAlso myClaim.Right = Rights.PossessProperty Then
Dim emailAddress = TryCast(myClaim.Resource, String)
If emailAddress Is Nothing Then
Return False
End If
If Not IsValidEmailAddress(emailAddress) Then
Return False
End If
Return True
Else
Return False
End If
End Function
' This helper method performs a rudimentary check for whether
'a given email is valid.
Private Shared Function IsValidEmailAddress(ByVal emailAddress As String) As Boolean
Dim splitEmail() = emailAddress.Split("@"c)
If splitEmail.Length <> 2 Then
Return False
End If
If Not splitEmail(1).Contains(".") Then
Return False
End If
Return True
End Function
End Class
Pokud je přístup true, služba STS A vydá token SAML s nárokem userAuthenticated.
// Create the list of SAML Attributes.
List<SamlAttribute> samlAttributes = new List<SamlAttribute>();
// Add the userAuthenticated claim.
List<string> strList = new List<string>();
strList.Add("true");
SamlAttribute mySamlAttribute = new SamlAttribute("http://www.tmpuri.org",
"userAuthenticated", strList);
samlAttributes.Add(mySamlAttribute);
// Create the SAML token with the userAuthenticated claim. It is assumed that
// the method CreateSamlToken() is implemented as part of STS-A.
SamlSecurityToken samlToken = CreateSamlToken(
proofToken,
issuerToken,
samlConditions,
samlSubjectNameFormat,
samlSubjectEmailAddress,
samlAttributes);
' Create the list of SAML Attributes.
Dim samlAttributes As New List(Of SamlAttribute)()
' Add the userAuthenticated claim.
Dim strList As New List(Of String)()
strList.Add("true")
Dim mySamlAttribute As New SamlAttribute("http://www.tmpuri.org", _
"userAuthenticated", _
strList)
samlAttributes.Add(mySamlAttribute)
' Create the SAML token with the userAuthenticated claim. It is assumed that
' the method CreateSamlToken() is implemented as part of STS-A.
Dim samlToken = CreateSamlToken(proofToken, issuerToken, samlConditions, _
samlSubjectNameFormat, _
samlSubjectEmailAddress, _
samlAttributes)
Klient ve společnosti Organization A
Následující obrázek znázorňuje klienta v organizaci A spolu s kroky, které jsou součástí volání MyService služby. Další funkční komponenty jsou také zahrnuty pro úplnost.
Shrnutí
Federované zabezpečení poskytuje čisté rozdělení odpovědnosti a pomáhá vytvářet zabezpečené a škálovatelné architektury služeb. Jako platforma pro vytváření a nasazování distribuovaných aplikací poskytuje WCF nativní podporu pro implementaci federovaného zabezpečení.