У меня есть клиентское приложение (окна), в которое пользователь входит. Из этого приложения пользователь захочет получить доступ к удаленному веб-сайту с помощью единого входа (SAML) и будет аутентифицироваться Microsoft WIF. Для этого пользователь нажмет кнопку, которая открывает локальный веб-браузер, генерирует токен SAML (содержащий имя пользователя и роли и т. Д.) И делает HTTP POST на удаленном веб-сайте для доступа к нему, подписывая их.Безопасное создание маркера SAML2 в клиентском приложении без сертификата подписи установки
Я хочу, чтобы пользователь был подписан в автоматическом режиме на основе своих учетных данных из приложения Windows.
Я знаю, как создать токен SAML, но предположим, что для его установки на локальном ПК должен быть установлен сертификат подписи, который необходимо будет установить на всех ПК в моей компании.
Установка этого сертификата выглядит не совсем правильно. Как еще я могу безопасно разрешить пользователям создавать токен SAML, который будет принят Поставщиком услуг (через единый вход)?
UPDATE:
Пользователь не прошел проверку подлинности в приложении Windows с помощью проверки подлинности Windows (Kerberos), мы делаем заказ SQL вызов к базе данных имя пользователя/пароль.
В выигрышном приложении мы будем знать имя пользователя и их роли, поэтому можем генерировать утверждения из этого или передать его удаленной STS для генерации и подписи маркера SAML. Но снова передача этих данных в STS кажется совершенно неправильной снова.
Приложение win не использует проверку подлинности Windows (Kerberos), поэтому STS не может использовать kerberos (я думаю). –
Я могу передать имя пользователя из win app в STS, которое должно было уйти и заполнить заявки (роли) и сгенерировать/подписать токен SAML для отправки. Но как может приложение win безопасно передать имя пользователя в STS в первую очередь? –
Вам необходимо пройти аутентификацию в STS, чтобы безопасно передать личность пользователя. Если ваша рабочая станция является частью домена Active Directory, вы можете использовать Kerberos для аутентификации в STS. –