标签: federated-identity

我正在使用联合登录构建Google App Engine for Java应用程序.

当用户使用OAuth提供程序登录我的应用时,我会收到一个用户对象[http://code.google.com/appengine/docs/java/javadoc/com/google/appengine/api/users/User.html ].

我想在数据存储区中保留指向该用户的链接.但是,我使用什么作为唯一键？是getFederatedIdentity()还是getUserId()？两者都没有任何JavaDoc.显然,当用户随后登录我的应用程序时,我想要检索已保存到数据存储区的对象.

我理解federatedIdentity字段,我应该总是填充它(我只允许联合登录).但是,如果这是用于将我的详细信息链接到登录用户的字段,那么Google在本地服务器上进行测试时将其留空......这样就没那么多了.

什么是getUserId字段 - Google如何设置它？如果用户的联合身份保持不变,它是否保证保持不变？

非常感谢

我们目前有一个系统，每个用户都可以获得一个数据库。我们现在正在转向单数据库多租户模式，以便一个数据库可以容纳许多客户。

几个问题：

1. 是否存在多租户转换工具？Tenant或者这只是创建一个表并将其添加TenantID到每个其他表的过程？

2. 有没有一种简单的方法可以实现多租户而无需重构与数据库通信的代码？

   我们有一个Odata.svc与数据库进行所有通信的程序（我们的前端客户端范围从 .net 前端到 iOS 设备）。我读了一些有关使用联合对tenantID谓词执行过滤的内容，因此根本不需要更改代码。这可能吗？

3. 对于数据库中的租户数量是否有建议的限制？

我认为这是一个愚蠢的问题（一根绳子有多长）。我们很可能会在 Azure 上托管最终解决方案。

期待任何人能给我的任何建议。我们正在对我们的流程进行根本性的改变，所以我想在我们陷入困境之前先占上风。

我有一个 ASP.NET 应用程序，它使用 Azure ACS（和间接 ADFS）进行身份验证 - 一切正常。现在我被要求将 SessionToken 传递给另一个后端服务，在那里可以验证它并提取声明。[长话短说，不是我的选择]

我在解密方面很合适，而且我确定我错过了一些基本的东西。

为了设置阶段，解密时的错误是：

ID1006: The format of the data is incorrect. The encryption key length is negative: '-724221793'. The cookie may have been truncated.

ASP.NET 网站使用 RSA 包装器ala：

ID1006: The format of the data is incorrect. The encryption key length is negative: '-724221793'. The cookie may have been truncated.

（指纹与 FedUtil 在 web.config 中添加的值相同。

我用以下命令编写令牌：

    void WSFederationAuthenticationModule_OnServiceConfigurationCreated(object sender, ServiceConfigurationCreatedEventArgs e)
        {
            string thumbprint = "BDE74A3EB573297C7EE79EB980B0727D73987B0D";

            X509Certificate2 certificate = GetCertificate(thumbprint);

            List<CookieTransform> sessionTransforms …

我正在做一些关于使用 S3 的研究。我想要实现的基本上是以与文件系统相同的方式控制对 S3 存储桶中对象的访问，但针对 IAM 联合用户。

让我们假设以下场景

  Bucket  
     |- File 1.txt -> ACL: Read: User1; Read: User 2
     |- File 2.txt -> ACL: Read: Everyone; Read, Write: User 2
     |- File 3.txt -> ACL: Read: Group 1; Read, Write: User 2

这种配置可以使用 ACL 和 Amazon“本机”用户和组来实现。另一方面，对于联合用户，我唯一能找到的就是使用分配的存储桶策略生成临时令牌。

如果我理解正确的话，存储桶策略的工作方式与 ACL 相反（定义用户有权访问哪些对象，而 ACL 定义谁有权访问该对象）

我的问题是。是否可以在 ACL 中分配联合用户（或以其他方式为联合用户实现相同的目标）？

我想实现与文件系统相同的行为，其中您在组中拥有用户，并且在标记哪些组可以访问它们的对象上

假设字段“x-amz-meta-seclevels”包含有权访问文件的组（Group1、Group2、admin3rdfloor），并附有所提供的策略（这是不正确的，但我想描述一下我的想法） IAM 联合用户，我可以授予该用户对 x-amz-meta-seclevels 字段中包含 admin3rdfloor 值的所有文件的访问权限。

{
'Statement': [
    { 
        'Sid': 'PersonalBucketAccess', 
        'Action': [ 
            's3:GetObject' 
            ],
        'Effect': 'Allow', 
        'Resource': 'arn:aws:s3:::MyBucketName' 
        'Condition':{
        'StringLike':{
           's3:x-amz-meta-seclevels':'admin3rdfloor'
        } …

我们计划在我们的应用程序中使用 spring saml 扩展作为 SP。但是我们的应用程序的要求是我们需要与 1 个以上的 IDP 进行通信，请问有人可以提供/指导我使用多个 IDP 的示例吗？

我还想知道 spring saml 扩展支持什么样的 IDPS，如 OPenAM/Ping federate/ADFs2.0 等...

谢谢，--维卡斯

我创建了一个Azure租户并配置了以下内容:

Azure广告:

• 一个简单的自定义域名(少于15个字符).DNS验证等一切都很好.
• 用户和管理员组
• 两个组中的用户
• VNET,DNS和IP地址
• 启用设备管理
• 启用域服务并连接到VNET

请注意,没有任何内部部署,这一切都在云端.我的实体笔记本电脑实际上只是用作跳箱​​.

SQL Azure数据库和服务器:

• 防火墙规则为所有必要的传入连接打开
• Active Directory管理员设置为我在Azure AD中创建的管理员组
• AD用户都使用CREATE USER FROM EXTERNAL PROVIDER在SQL Azure中创建;

我可以使用Active Directory通用身份验证或Active Directory密码身份验证从笔记本电脑上的SSMS连接到SQL Azure数据库.对于这两种情况,我都会因为预期的用户名和密码而受到质疑.

目标: 我希望能够使用集成身份验证,以便可以从a)机器,b)ASP.NET MVC站点无缝地传输身份.我没有尝试过场景b是的,所以让我们停下来吧.对于方案a,我已经完成了以下操作.

配置Azure VM:

• 标准D2 - Windows 10完全修补
• 连接到与域相同的VNET
• 安装SQL Server Management Server 2016(SSMS)(最新和修补 - 13.0.15700.28)
• 安装了ODBC 13.1(虽然我认为这不相关)
• ADAL
• 面向IT专业人员RTW的Microsoft Online Services登录助手

简而言之,我的完整"环境"包括Azure AD,SQL Azure DB和客户端VM.

问题: 我使用目录服务将VM加入我的Azure Active Directory,注销并以有效域用户身份登录(在AD和SQL Azure中有效,具有适当的登录和权限).当我打开SSMS时,我可以很好地连接Active Directory通用身份验证或Active Directory密码身份验证,但是当我尝试连接Active Directory身份验证安全性时,我收到以下错误.如果我将VM直接加入Azure AD,也会发生这种情况.我的部署是100%云,因此没有联邦.

所以我有两个问题:

• 我在配置或方法中遗漏了什么或是否有解决方法？这可能是一个现有的问题 - 见这里
• 如果使用C#在.net 4.6.2中编码并部署在云中,这种连接(通过)是否有效？可能与ODBC 13.1驱动程序？

谢谢

===================================

无法连接到.database.windows.net.

===================================

无法在Active Directory中验证用户NT Authority\Anonymous Logon(Authentication = ActiveDirectoryIntegrated).错误代码0xCAA9001F; state …

我已经构建了一个身份验证系统，并希望将其设为联合身份验证和授权系统 (SSO)，例如 Google+ 或 Facebook。经过研究，我发现 OAuth 2.0 之上的 OpenID Connect 是最好的选择。

我认为使用现有的经过良好测试的库比自己实现整个堆栈更好，因此我计划使用MITREID Connect。任何意见？

然而，还有一些事情我不确定：

1. 我走在正确的轨道上吗？openid-connect-server 的代码库可以用于我想要构建的内容吗？
2. 如果是这样，并且我使用 OpenID Connect 完成了系统扩展，我如何让 Web 应用程序开发人员在他们的 OpenID Connect/OAuth2 表单上显示我的登录系统？更清楚地说，我需要提供哪些数据或需要公开哪些 API 才能让客户端开始使用我的系统进行身份验证和授权？

如果我遗漏了任何关键点，请告诉我。如果我在错误的论坛上发帖，请随时将帖子移至适当的论坛。

如何使用AWS cognito联合身份为azure AD和G Suite启用SSO？

我曾尝试使用SAML,但无法弄明白,如果可以使用AWS本身完成解决方案而没有太多复杂情况,那将会更好

我有一个 Cognito 用户池，并创建了一个 SAML 身份提供商，它映射到客户端应用程序。

我创建了一个可变的自定义属性，并使用 SAML 响应断言映射该属性。

第一次，当用户使用 SAML 身份提供程序登录时，我可以看到联合用户已创建，并且使用 SAML 断言中的值生成了可变自定义属性。但是，在后续登录中，如果 SAML 响应属性值发生更改，则不会更新 Cognito 用户的属性。

有没有办法根据 SAML 断言更新 Cognito 用户的属性？

我还没有找到解决这个主题的明确答案，考虑到这似乎是一个常见的场景，这令人惊讶。任何人都可以提供一些指导或资源来建立这种类型的用户联盟吗？

我做了一些研究，了解到 Keycloak 可以接受 Kerberos 或 LDAP 用户联合，但该消息来源声称 Azure AD 不支持 LDAP。尽管如此，我还没有找到这个过程的明确的“最佳选择”。我希望真正建立此类联盟的人可以提供一些指导或资源来帮助我实现这一目标。