Azure ACS가 설치되어 있습니다. 여러 개의 IP가 구성되어 있습니다. 그 중 하나는 사용자 지정 STS입니다. "수동"시나리오 - 브라우저 리디렉션을 사용하여 ip에서 acs로, 다시 내 RP로 토큰을 가져 오는 데 사용됩니다 - 매력처럼 작동합니다. 패시브 시나리오에서는 홈 스킬을 사용하여 ACS를 원하는 IP-STS로 "안내"할 수 있습니다.
현재 시나리오에서 비슷한 것이 가능한지 궁금합니다. 더 구체적으로 : ACS에서 사용자 이름과 암호 (그리고 사용자 이름 암호를 처리 할 IP의 일부 ID)를 ACS에 제공하여 ACS에서 토큰을 검색 할 수 있습니까?Windows에 로그인하는 방법 Azure ACS
는
좋아, 찾았습니다. 나는 양방향 과정이 필요해. 먼저 사용자 이름과 암호를 사용하여 사용자 정의 sts의 토큰을 요청하십시오 (acs st의 올바른 끝점으로 설정된 대상). 다음으로 ACS에서 발급 한 토큰에 대해이 토큰을 "교환"하십시오. https://stackoverflow.com/questions/13675217/exchange-ip-sts-jwt-token-for-acs-jwt-toke n
활성 인증 흐름을 정확히 그런 식으로 작동하지 않습니다 (내가 직접 토큰 에 대한 사용자 지정 STS를 요구하고 있지 않다, 그래서 내 클라이언트에서 사용자 지정 STS에 대한 지식을 유지하려는). 자격 증명은 ACS로 이동하지 않고 WS-Trust와 같은 프로토콜을 통해 직접 IdP로 전달됩니다. 예를 들어 ACS Federated Authentication sample을 살펴보세요.
ACS가 지원하는 프로토콜 중 어떤 것도 직접 제안하는 방식으로 페더레이션 공급자를 통해 자격 증명을 허용하지 않습니다 (그렇게하면 자격 증명이 FP에 노출 될 수 있으므로 불필요한 보안 문제가 발생할 수 있습니다).하지만 사실 이러한 신임 정보가 ACS 대신 IdP로 이동한다는 사실은 최종 사용자에게는 보이지 않아야합니다.
감사합니다. 이해합니다. 나는 그런 것을 두려워했다. 시나리오를 설명하는 예제가있는 곳을 기억합니다. 이 예에서의 차이점은 "자격 증명"이 Windows Kerberos 데이터인데, 이는 "랩"속성을 통해 accesscontrol.windows.net/WRAPv0.9 끝점에 전달되었습니다. 그래서 그것은 사용자 이름/비밀 번호를 위해 일할 수 있는지 궁금 해서요. (여전히 ACS에는 v2/metadata/identityProviders.js와 유사한 기능이 없기 때문에 활성 시나리오의 끝점을 얻을 수 있습니다.) –
그게 무슨 가치가 있는지에 대해서는 혼란의 원인을 설명하겠습니다. 이 경우 사용자 이름과 암호를 사용하여 ACS 관리 콘솔에 로그인하는 몇 가지 예가 있습니다. 이는 ACS를 사용하여 회신 상대방의 토큰을 얻는 것과 상당히 다릅니다. 내가 말하고있는 예제는 OData 프로토콜 (https : // .accesscontrol.windows.net/v2/mgmt/service)을 사용하여 ACS 관리 사용자 인터페이스의 "객체" 응답하는 당사자의 토큰입니다. –