标签: accesscontrolservice

查看Azure ACS生成的请求URL时,我可以看到ACS包含电子邮件,全名,名字和姓氏作为所需声明.此外,fullname属性映射到http://axschema.org/namePerson声明类型.

现在我已将MyOpenID添加为身份提供者.MyOpenID无法识别axschema声明,但我已成功http://schema.openid.net/namePerson从MyOpenID中检索到.

但问题是,即使我将http://schema.openid.net/namePerson声明作为与ACS中的MyOpenID声明发布者相关的规则添加,声明也不会包含在ACS生成的请求URL中.

是否有任何(隐藏)方法来配置要求此声明的请求？或者甚至更好,更改内置映射以使用schema.openid.net/namePerson类型而不是axschema.org/namePerson？

我正在使用访问控制服务来授权访问特定服务标识的特定服务总线订阅.

当从订阅接收会话或消息时,服务标识被授权并且可以根据需要接收和完成或放弃消息.

但是,我没有看到UnauthorizedAccessException尝试访问服务标识无权访问的订阅时,也没有在尝试执行规则组未针对该服务标识和依赖项发出声明的操作时看到此异常派对(如发送消息或创建主题).

相反,我最终看到了一个TimeoutException - "The timeout elapsed upon attempting to obtain a token while accessing 'https://namespace-sb.accesscontrol.windows.net/WRAPv0.9/'".内部例外是一个SecurityTokenException - "The token provider was unable to provide a security token while accessing 'https://namespace-sb.accesscontrol.windows.net/WRAPv0.9/'. Token provider returned message: 'The operation has timed out'".这会导致RetryPolicy出​​现问题,因为Timeout Exception被认为是瞬态的.

但奇怪的是,我UnauthorizedAccessException在尝试接收订阅描述时收到了.根据服务总线操作所需的权利,应该可以在... myTopic/Subscriptions/mySubscription范围内使用Listen Claim提供服务标识.

我有以下设置:

• 服务身份:证明
• 规则组:
  • 服务总线的默认规则组
    • 3条规则,输入声明:所有者,输出声明:管理,发送,收听
  • http://namespace.servicebus.windows.net/myTopic的规则组
    • 没有规则
  • http://namespace.servicebus.windows.net/myTopic/Subscriptions的规则组
    • 没有规则
  • 规则组为http://namespace.servicebus.windows.net/myTopic/Subscriptions/mySubscription
    • 一条规则:输入声明:testidentity,输出声明:倾听
• 依赖方申请:
  • 领域:http://namespace.servicebus.windows.net/myTopic/Subscriptions/mySubscription
  • 令牌格式:SWT
  • 令牌生命周期:10800
  • 身份提供者:无(ACS)
  • 与上面列出的所有规则组相关联

我看到以下问题:

var manager …

我创建了一个基本的MVC 3网站,该网站使用Windows Azure的访问控制服务(ACS)对Active Directory联合服务(ADFS)端点执行用户身份验证.我按照"添加STS参考"向导,该网站运行正常,并在IE中完美地验证用户.但是,当我使用Chrome或Firefox时,它会不断提示我的凭据一遍又一遍.

我发现这篇关于technet的帖子提到了这个问题,因为它与Firefox有关,但是没有提到Chrome的修复,也不觉得修复Firefox所需的步骤在现实世界中是实用的(即我不能指望最终用户做这个)

http://social.technet.microsoft.com/wiki/contents/articles/ad-fs-2-0-continuously-prompted-for-credentials-when-using-firefox-3-6-3.aspx

还有其他人遇到过这个障碍吗？我究竟做错了什么？

我正在尝试在ASP.NET MVC应用程序中设置身份验证,如果是这样,请使用Azure访问控制服务(ACS)(2011年5月发布).我已经使用默认设置了.但是这里存在可用性问题.

当我使用我的Google帐户进行身份验证时...... Google说.. mydomain.accesscontrol.windows.net正在请求访问该帐户.这可能会让最终用户感到困惑,因为他们期望使用login.mydomain.com.

我指着一个DNS CNAME记录来自login.mydomain.com于mydomain.accesscontrol.windows.net并上传一个X.509证书login.mydomain.com通过访问控制服务控制面板.但是当我尝试访问https://login.mydomain.com时出现服务器错误,因为发送到浏览器的证书是*.accesscontrol.windows.net.NB.我无法看到Azure ACS服务器上的错误.

有没有人在这里设法成功为ACS设置自定义域,并可以建议如何做到这一点？似乎可以使用角色和存储帐户,但我找不到有关AppFabric服务组的任何文档.

我们正在构建一个使用ACS的应用程序.我们的使用场景如下所示:

1. 用户通过电子邮件获取类似这样的URL https://our.application.com/?requestId=123456并点击它
2. 用户被重定向到LiveID登录屏幕
3. 登录后,ACS会将用户转发给我们,但要转发到https://our.application.com/

不幸的是,"访问控制服务门户"上的"中继方"中的"返回URL"设置似乎只是一个固定的字符串.有没有办法将原始请求传播给它？如果没有,你会建议什么作为解决方法？

OAuth 2.0委派包含在Azure AppFabric访问控制服务中:

http://blogs.objectsharp.com/cs/blogs/steve/archive/2011/04/11/windows-azure-access-control-services-v2-rtw.aspx

但是,您如何实际设置OAuth 2.0身份提供商？

在管理界面中添加标识提供程序并选择WS-Federation标识提供程序时,需要提供WS-Federation元数据文档.

但是,当您阅读OAuth 2.0提供程序的文档(即http://msdn.microsoft.com/en-us/library/hh243647.aspx)时,没有提及元数据文档(是的,我知道包含Windows Live作为预先配置的身份提供者).这是我要写的东西吗？

更新

好的,所以我发现你可以使用API​​添加其他身份提供者,请参阅以下PowerShell命令作为示例:

http://blogs.msdn.com/b/vbertocci/archive/2011/05/19/adding-a-custom-openid-provider-to-acs-with-just-one-line-of-powershell-code. ASPX

但是,在尝试添加OAuth提供程序时,我只是收到错误:

Add-IdentityProvider -Type "Manual" -Name "foo" -SignInAddress "http://term.ie/oauth/example/access_token.php" -Protocol OAuth -Namespace "abc" -ManagementKey "xxxxxx"

Add-IdentityProvider : An error occurred while processing this request.
At line:1 char:21
+ Add-IdentityProvider <<<<  -Type "Manual" -Name "foo" -SignInAddress "http://term.ie/oauth/example/access_token.php" -Protocol OAuth -Namespace "abc" -ManagementKey "xxxxxx"
+ CategoryInfo          : CloseError: (:) [Add-IdentityProvider], ServiceManagementException
+ FullyQualifiedErrorId : Microsoft.Samples.DPE.ACS.ServiceManagementTools.PowerShell.IdentityProviders.AddIdentityProviderCommand

另一个更新

ACS Management API提供了添加新身份提供程序的机制(如果将OpenId设置为WebSSOProtocolType),但是,我无法看到您如何传递OAuth测试服务器的密钥/密钥(http://term.ie/oauth/example /)我正在使用require.

http://msdn.microsoft.com/en-us/library/hh278947.aspx

我想将Azure Active Directory设置为SharePoint 2013 Foundation的身份提供程序.我从作为另一个基础架构(我公司的基础架构)一部分的帐户激活了Azure试用版.那么我现在拥有的:

• 安装了SharePoint 2013 Foundation的Azure VM.由我创建用于测试目的
• Azure Active Directory是我公司基础架构的一部分.我甚至没有任何权限来查看它.但是自从我的公司使用它以来我就看到了它
• Azure Active Directory,将我作为全局管理员(我的广告名称).由我创建用于测试目的
• 访问控制服务.由我创建用于测试目的

因此,在使用Microsoft Azure Active Directory进行SharePoint 2013身份验证的文章后,我收到错误消息

PS C:\Users\tu1> New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscontrol.windo
ws.net/") -DisplayName "Test ACS Namespace" -Addresses $replyUrl
The following symmetric key was created as one was not supplied m2XQJAeUKEQztjn/sEDJwy8TbG8jPxpw6cemkm8Fnkw=
New-MsolServicePrincipal : Access Denied. You do not have permissions to call this cmdlet.
At line:1 char:1
+ New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscon ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [New-MsolServicePrincipal], MicrosoftOnlineException
    + FullyQualifiedErrorId : …