如何让两个网站针对 Thinktecture 的 Identity Server 进行身份验证？

Question

在查看有关身份和访问控制的 PluralSite 视频后，基本上设置了我需要的所有内容（我的机器上有一个正在运行的 Thinktecture Identity Server 本地实例，以及 Identity and Access vs2012 扩展），我无法在同一个解决方案中使用两个 Web 应用程序来针对 Identity Server 进行身份验证。

目前，他们都要求我登录 id 服务器，这不是我想要的，我希望能够登录到 id 服务器一次，并为两个站点进行身份验证。

以下是 web.config 中我认为应该如何进行的部分：

“领域”的作用究竟是什么？这需要是一个真实的 URL，还是可以像命名空间一样对待？当尝试跨多个站点使用由 Id 服务器颁发的相同安全令牌时，我的映像领域必须发挥作用。

<system.identityModel.services>
<federationConfiguration>
<cookieHandler requireSsl="false" />
<wsFederation passiveRedirectEnabled="true" issuer="https://MyIdServer.com/idsvr/issue/wsfed" realm="http://MyLocalServerRunningIISExpress:55495/" reply="http://MyLocalServerRunningIISExpress:55495/" requireHttps="false" />
</federationConfiguration>
</system.identityModel.services>

audienceUris 是如何工作的？我假设如果我想跨多个站点使用一个安全令牌，我需要在 AudienceUris 部分中表示每个站点的 URL？

<system.identityModel>
<identityConfiguration>
<claimsAuthenticationManager type="SSO.Security.ClaimsAuthenticationManager, SSO.Security" />      
<audienceUris>
<add value="http://MyLocalServerRunningIISExpress:55495/" />
<add value="http://MyLocalServerRunningIISExpress:53133/" />
</audienceUris>
</identityConfiguration>
</system.identityModel>

第二个站点的另一个 web.config 文件与上面的部分一样，但 URL 上的端口号已更改。

再一次，我确实让 Id Srv 将一个令牌传回给我，该令牌对我的 ONE 站点进行身份验证，但我一辈子都无法让它为两个站点工作。

我猜这是一个配置问题，或者可能是因为我在两个端口号上运行了两个 IIS Express 实例，而不是使用真正的 IIS 服务器并使用 URL？

Answer 1

在 cookie 处理程序中，您应该指定name、domain（可能还有path）。这些在所有使用它的网站上必须是相同的。

<system.identityModel.services>
  <federationConfiguration>
    <cookieHandler requireSsl="false" 
       name="myCookieName" domain="MyLocalServerRunningIISExpress" path="/"/>
    <wsFederation passiveRedirectEnabled="true" requireHttps="false" 
       issuer="https://MyIdServer.com/idsvr/issue/wsfed" 
       realm="http://MyLocalServerRunningIISExpress:55495/" />
  </federationConfiguration>
</system.identityModel.services>

我不确定这如何与使用不同端口号的设置一起使用。我的设置是标准 IIS，两个站点作为应用程序在同一个根目录下运行。

我知道的另一种设置是使用域的最后一部分共同设置两个站点。那就是网站有 URL：site1.mydomain.com 和 site2.mydomain.com。然后将<cookieHandler>中的domain参数设置为mydomain.com。

是的，所有网站都必须列在<audienceUris> 中，就像您在示例中已经列出的那样。

注意：
当reply url 与realm 相同时，reply 参数不是严格需要的。

Answer 2

nzpcmad，这是 4.5 中的相似之处：

var authModule = FederatedAuthentication.WSFederationAuthenticationModule;
authModule.SignOut(false);
var signOutRequestMessage = new SignOutRequestMessage(new Uri(authModule.Issuer), authModule.Realm);
var queryString = signOutRequestMessage.WriteQueryString();
return new RedirectResult(queryString);

我认为这里的问题与 Thinktecture Id Svr 发出 cookie 的方式有关，该 cookie 应该跟踪哪些依赖方已通过身份验证。出于某种原因，包含经过身份验证的 RP 的 cookie 似乎在收到注销请求之前不会发出，我认为应该在收到登录请求时发出 cookie？

其他人也遇到过同样的问题，GitHub 上有一张票： https://github.com/thinktecture/Thinktecture.IdentityServer.v2/issues/197

Answer 3

您是否尝试过 FederatedSignOut？

WSFederationAuthenticationModule am = FederatedAuthentication.WSFederationAuthenticationModule;
WSFederationAuthenticationModule.FederatedSignOut(new Uri(am.Issuer), new Uri(am.Realm));

我知道这是 WIF 1.0，但在 WIF 4.5 中应该有类似的东西

Answer 4

好的，显然，您必须选中“记住我”复选框才能将 cookie 传播到其他网站。所以，从本质上讲，这现在有效。但是，我仍然无法正确注销。同样，要注销的网站正在清除它自己的 cookie，然后处理 STS cookie，但其他网站仍保持登录状态。

在STS服务器注销页面，源码视图有：

<iframe style="visibility: hidden; width: 1px; height: 1px" src="http://MyServer:55495/?wa=wsignoutcleanup1.0"></iframe>

但是由于当前有两个网站登录，我应该在这里看到其中两个条目，所以这个页面也可以清理那个 cookie。

这是我的注销代码：

var authModule = FederatedAuthentication.WSFederationAuthenticationModule;

//clear local cookie
authModule.SignOut(false);

//initiate federated sign out request to the STS
var signOutRequestMessage = new SignOutRequestMessage(new Uri(authModule.Issuer), authModule.Realm);
var queryString = signOutRequestMessage.WriteQueryString();
return new RedirectResult(queryString);

我相信这段代码是正确的，但我想问题是 STS 服务器没有跟踪哪些依赖方已登录并且需要销毁他们的 cookie？