2. 질의 응답
  3. ADFS로 Thinktecture 웹 API 보안 이해

ADFS로 Thinktecture 웹 API 보안 이해

2014-03-18 9 views
1

다음은 현재 상황입니다. 두 개의 RP 웹 응용 프로그램이 연결된 ADFS 2.0 서버를 설정했습니다. 이러한 응용 프로그램 인 App1과 App2는 웹 API 백엔드가있는 웹 응용 프로그램입니다. Javascript AJAX 호출이 사용됩니다.ADFS로 Thinktecture 웹 API 보안 이해

WIF에 대한 처음 이해에서 브라우저를 통해 로그인 한 다음 두 응용 프로그램에 액세스 할 수 있다고 생각했습니다. App1에서 App2의 웹 API 함수를 호출 할 수 없으므로 잘못된 것으로 판명되었습니다. 이 작업을 수행 할 수있는 유일한 방법은 App2의 URL을 입력하는 것입니다. 그러면 App 1의 후속 호출이 작동합니다 (올바른 FedAuth 쿠키가 헤더에 전달됨).

그래서 검색 및 검색 중입니다. 실제로 App2의 웹 API를 App1에서 호출하는 방법은 있지만 빈 손으로 왔습니다. 내가 솔루션에있어 가장 가까운 것은 내가 제대로이 문제를 이해한다면, 나는 WebAPI 내 SAML2를받을 수 있도록 할 수 있어야한다

http://leastprivilege.com/2013/04/22/asp-net-web-api-security-the-thinktecture-identitymodel-authenticationhandler/

이 예에서와 같이, 메시지 처리기를 추가하여 (내가 믿는)입니다 보안 토큰.

내 코드는 다음과 같다 :

public static class WebApiConfig 
{ 
    public static void Register(HttpConfiguration config) 
    { 

     var authentication = CreateAuthenticationConfiguration(); 
     config.MessageHandlers.Add(new AuthenticationHandler(authentication)); 

    } 
} 

private static AuthenticationConfiguration CreateAuthenticationConfiguration() 
    { 
     System.Diagnostics.Debugger.Break(); 
     var authentication = new AuthenticationConfiguration 
     { 
      ClaimsAuthenticationManager = new MyClaimsAuthenticationManager(), 
      EnableSessionToken = true, 
      RequireSsl = false 
     }; 

authentication.AddSaml2(
      issuerThumbprint: **Hidden**, 
      issuerName: "https://192.168.0.55/adfs/ls/", 
      audienceUri: "http://localhost/MyCompany.App2/", 
      certificateValidator: X509CertificateValidator.None, 
      options: AuthenticationOptions.ForAuthorizationHeader("AdfsSaml"), 
      scheme: AuthenticationScheme.SchemeOnly("AdfsSaml")); 


     return authentication; 
}

통화가 MyClaimsAuthenticationManager.Authenticate을()에 도달, 그러나 IncomingPrincipal는 아직 인증되지 않습니다.

1) 내 앱 2 웹 API를 호출 할 수 있습니다 : 나는 MyClaimsAuthenticationManager.Authenticate()

내 질문하기 전에 아무것도를 디버깅 할 수 없기 때문에이하는 SAML2 토큰을 수신 여부를 알 수있는 방법이 없습니다 App1에서 인증 받았음에도 불구하고 기능이 있습니까? (그들은 동일한 ADFS를 사용합니다)

2) 가능한 경우 ThinkTecture AuthenticationHandler를 사용하여 올바른 트랙을 수행합니까?

감사합니다.

출처

2014-03-18 Sdupere

+0

사용자가 App1에 인증되어 있기 때문입니다. App1은 사용자를 대신하여 App2에 액세스하려고 시도하고 있습니다.Ajax를 App1의 클라이언트에서 App2로 호출하면 작동 할 것입니다. 귀하의 경우에는 App1에서 App2로 사용자의 ID를 위임해야합니다. –

+0

그것은 작동하지 않는다, 그것은 App 2에 필요한 FedAuth 쿠키를 가지고 있지 않다. 그래서 호출은 권한이 없거나/로그인 페이지로 리다이렉트되었다. – Sdupere

답변

0

앱 1에서 앱 2로 전화하는 것이 JS 또는 서버 코드에서 온 것인지 여부는 조금 불분명합니다.

후자의 경우 부트 스트랩 토큰을 가지고 있다면 앱 1에서 STS로 ws-trust 콜을 다시 보내서 앱 2에 대한 토큰을 얻을 수 있습니다. WS-Trust - 위임이라고합니다.

편집 : IDS를 STS로 사용하고 있다고 생각했지만 ADFS를 사용하고 있다는 것을 깨달았습니다. 이 기능은 모두 BTW를 지원합니다.

출처

2014-03-18 23:02:20

+0

실제로 둘 다 때때로 JS ($ .ajax())에서 호출한다. 내 서버 코드에서 언젠가. WS-Trust에 대해 살펴볼 것입니다. JS에 사용할 수있는 것은 무엇입니까? 감사! – Sdupere

0

IIS 웹 응용 프로그램이 실행중인 도메인 계정 (응용 프로그램이 사용하는 응용 프로그램 풀의 ID)에 대해 App 2에 대한 SPN을 설정해야합니다. 예 : setspn -a http/app2 domain \ account. 따라서 로컬/네트워크 ID가 아닌 특정 도메인 계정을 사용하는 응용 프로그램 풀을 사용해야합니다.

IIS 응용 프로그램이 응용 프로그램 풀 자격 증명을 사용하도록 설정되어 있는지 확인하십시오. 가장 및 위임과 관련하여 만든 SPN에 대한 App1 계정에 대해 AD에서 위임 대상을 설정해야합니다. 위임을하려면 위임을 수행하는 계정에 대해 "운영 체제의 일부로 작동"로컬 보안 정책을 설정해야합니다.이 경우 사용자가 가장을 수행하는 경우 해당 계정이 App1의 계정이됩니다.

출처

2014-04-08 06:22:25

 관련 문제

  • 관련 문제 없음^_^