Как настроить WCF для использования настраиваемой области в формате URN с Azure ACS?

Question

Как мне сделать, чтобы мой клиент WCF проходил аутентификацию с использованием ACS для моей внутренней службы WCF? Проблема заключается в настройке пользовательского Царства (которое я не могу понять, как установить.)

Мой ACS настроен аналогично Образцам ACS , однако «Область» определяется, как показано ниже.

Выдержка из страницы конфигурации Azure ACS

---

---

Код клиента

      EndpointAddress serviceEndpointAddress = new EndpointAddress( new Uri( "http://localhost:7000/Service/Default.aspx"),  
                                                                      EndpointIdentity.CreateDnsIdentity( GetServiceCertificateSubjectName() ),
                                                                      new AddressHeaderCollection() );

        ChannelFactory<IStringService> stringServiceFactory = new ChannelFactory<IStringService>(Bindings.CreateServiceBinding("https://agent7.accesscontrol.appfabriclabs.com/v2/wstrust/13/certificate"), serviceEndpointAddress );

        // Set the service credentials.
        stringServiceFactory.Credentials.ServiceCertificate.Authentication.CertificateValidationMode = X509CertificateValidationMode.None;
        stringServiceFactory.Credentials.ServiceCertificate.DefaultCertificate = GetServiceCertificate();

        // Set the client credentials.
        stringServiceFactory.Credentials.ClientCertificate.Certificate = GetClientCertificateWithPrivateKey();

Код серверной стороны

 string acsCertificateEndpoint = String.Format( "https://{0}.{1}/v2/wstrust/13/certificate", AccessControlNamespace, AccessControlHostName );

        ServiceHost rpHost = new ServiceHost( typeof( StringService ) );

        rpHost.Credentials.ServiceCertificate.Certificate = GetServiceCertificateWithPrivateKey();

        rpHost.AddServiceEndpoint( typeof( IStringService ),
                                   Bindings.CreateServiceBinding( acsCertificateEndpoint ),
                                   "http://localhost:7000/Service/Default.aspx"
                                   );

        //
        // This must be called after all WCF settings are set on the service host so the
        // Windows Identity Foundation token handlers can pick up the relevant settings.
        //
        ServiceConfiguration serviceConfiguration = new ServiceConfiguration();
        serviceConfiguration.CertificateValidationMode = X509CertificateValidationMode.None;

        // Accept ACS signing certificate as Issuer.
        serviceConfiguration.IssuerNameRegistry = new X509IssuerNameRegistry( GetAcsSigningCertificate().SubjectName.Name );

        // Add the SAML 2.0 token handler.
        serviceConfiguration.SecurityTokenHandlers.AddOrReplace( new Saml2SecurityTokenHandler() );

        // Add the address of this service to the allowed audiences.
        serviceConfiguration.SecurityTokenHandlers.Configuration.AudienceRestriction.AllowedAudienceUris.Add( new Uri( "urn:federation:customer:222:agent:11") );

        FederatedServiceCredentials.ConfigureServiceHost( rpHost, serviceConfiguration );

        return rpHost;

... где urn:federation:customer:222:agent:11 - идентификатор проверяющей стороны

... и http://localhost:7000/Service/Default.aspx - это местоположение, к которому я хочу привязать указанный выше клиент WCF / WIF после проверки подлинности ACS.

Вопрос

Как мне отредактировать приведенный выше код так, чтобы клиент и сервер одновременно работали с определенным портом (localhost: 700), а также с областью urn: federation: customer: 222: agent: 11

Я думаю, что у меня правильный код сервера; Однако, как мне установить AudienceRestriction на клиенте?

Answer 1

Ваш код на стороне сервера выглядит нормально, но Sixto прав насчет стандартных фабрик каналов. К счастью, вы можете запросить токен безопасности у ACS самостоятельно, используя WSTrustChannelFactory. В контексте вашего примера ваш код будет выглядеть так:

//
// Get the token from ACS
//
WSTrustChannelFactory trustChannelFactory = new WSTrustChannelFactory(
    Bindings.CreateAcsCertificateBinding(),
    new EndpointAddress( acsCertificateEndpoint ) );
trustChannelFactory.Credentials.ClientCertificate.Certificate = GetClientCertificateWithPrivateKey();

RequestSecurityToken rst = new RequestSecurityToken()
{
    RequestType = RequestTypes.Issue,
    AppliesTo = new EndpointAddress( new Uri( "urn:federation:customer:222:agent:11" ) ),
    KeyType = KeyTypes.Symmetric
};

WSTrustChannel wsTrustChannel = (WSTrustChannel)trustChannelFactory.CreateChannel();
SecurityToken token = wsTrustChannel.Issue( rst );

//
// Call StringService, authenticating with the retrieved token
//
WS2007FederationHttpBinding binding = new WS2007FederationHttpBinding( WSFederationHttpSecurityMode.Message );
binding.Security.Message.EstablishSecurityContext = false;
binding.Security.Message.NegotiateServiceCredential = false;

ChannelFactory<IStringService> factory = new ChannelFactory<IStringService>(
    binding,
    new EndpointAddress(
            new Uri( ServiceAddress ),
            EndpointIdentity.CreateDnsIdentity(GetServiceCertificateSubjectName()) ) );
factory.ConfigureChannelFactory<IStringService>();
factory.Credentials.SupportInteractive = false;
factory.Credentials.ServiceCertificate.DefaultCertificate = GetServiceCertificate();

IStringService channel = factory.CreateChannelWithIssuedToken<IStringService>( token );
string reversedString = channel.Reverse( "string to reverse" );

Answer 2

Некоторые ответы могут быть лучше поздно, чем никогда.Мне не удалось найти никакой официальной документации по использованию WCF таким образом, однако, читая документы WS-Trust и документацию MSDN по конфигурации, я нашел следующее решение, которое, похоже, работает.

Из конфигурации клиента, потребляющего сервис, на configuration/system.serviceModel/bindings/ws2007FederationHttpbinding/binding/security/message.Он переопределяет элемент AppliesTo сообщения запроса токена.

<tokenRequestParameters>
  <wsp:AppliesTo xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy">
    <EndpointReference xmlns="http://www.w3.org/2005/08/addressing">
      <Address>urn:x-Organization:Testing</Address>
    </EndpointReference>
  </wsp:AppliesTo>
</tokenRequestParameters>

Добавление этого же фрагмента в конфигурацию службы приведет к тому, что утилита Service Reference включит его в элемент trust:SecondaryParametersСервисный клиент.Для правильной работы он должен быть перемещен в родительский элемент tokenRequestParameters.

Answer 3

На самом деле не пробовал подход, на который ссылается эта статья MSDN , но при чтении он звучит так, как будто у стандартной фабрики каналов нет правильных приемов, чтобы делать то, что вы хотите.WSTrustChannelFactory создан для WIF и SAML, но я недостаточно знаком с ACS, чтобы определить, применимо ли это.Эта статья в этой серии из шести частей , вероятно, также заслуживает прочтения.