Kentor.AuthServices 配置指纹验证

Question

如何配置 Kentor.AuthServices 以使用 WIF 的颁发者注册表？具体来说，根据指纹进行检查，如下例所示：

<system.identityModel>
    <identityConfiguration>
      <securityTokenHandlers>
        <securityTokenHandlerConfiguration>
          <issuerNameRegistry type="System.IdentityModel.Tokens.ConfigurationBasedIssuerNameRegistry, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089">
            <trustedIssuers>
              <add thumbprint="1111111111111" name="http://some.domain/adfs/services/trust" />
            </trustedIssuers>
          </issuerNameRegistry>
          <certificateValidation certificateValidationMode="None"/>
        </securityTokenHandlerConfiguration>
      </securityTokenHandlers>
    </identityConfiguration>
  </system.identityModel>

我试过这个（在发布之前删除了除<identityProviders> 元素之外的所有内容）：

  <kentor.authServices>
    <identityProviders>
      <add entityId="http://some.domain/adfs/services/trust" destinationUrl="https://some.domain/adfs/ls" allowUnsolicitedAuthnResponse="true" binding="HttpPost">
        <signingCertificate findValue="1111111111111" x509FindType="FindByThumbprint" />
      </add>
    </identityProviders>
  </kentor.authServices>

但这给了我“缺少 Idp http://some.domain/adfs/services/trust 上的签名证书配置”

有没有办法在 Kentor 中做同样的事情，或者（更好）有没有办法将这个现有的 WIF 配置输入 Kentor？

Answer 1

不，目前（版本 0.12.0），没有办法设置自己的IssuerNameRegistry。然而，这是我正在研究的东西，作为#145 的一部分。

然而，更改并非微不足道，因为它不仅仅是将配置的 IssuerNameRegistry 提供给 WIF，因为这只涵盖了断言本身已签名的情况。如果签名在消息级别，则验证由 AuthServices 自己完成，因此代码也必须更改为使用IssuerNameRegistry。