WSFederationAuthenticationModule Klas

Definitie

public ref class WSFederationAuthenticationModule : System::IdentityModel::Services::HttpModuleBase

public class WSFederationAuthenticationModule : System.IdentityModel.Services.HttpModuleBase

type WSFederationAuthenticationModule = class
    inherit HttpModuleBase

Public Class WSFederationAuthenticationModule
Inherits HttpModuleBase

Overname

Object

HttpModuleBase

WSFederationAuthenticationModule

Voorbeelden

void Application_Start(object sender, EventArgs e)
{
    // Code that runs on application startup

    //SUBSCRIBE TO WSFAM EVENTS
    FederatedAuthentication.WSFederationAuthenticationModule.AuthorizationFailed += new EventHandler<AuthorizationFailedEventArgs>(WSFederationAuthenticationModule_AuthorizationFailed);
    FederatedAuthentication.WSFederationAuthenticationModule.RedirectingToIdentityProvider += new EventHandler<RedirectingToIdentityProviderEventArgs>(WSFederationAuthenticationModule_RedirectingToIdentityProvider);
    FederatedAuthentication.WSFederationAuthenticationModule.SecurityTokenReceived += new EventHandler<SecurityTokenReceivedEventArgs>(WSFederationAuthenticationModule_SecurityTokenReceived);
    FederatedAuthentication.WSFederationAuthenticationModule.SecurityTokenValidated += new EventHandler<SecurityTokenValidatedEventArgs>(WSFederationAuthenticationModule_SecurityTokenValidated);
    FederatedAuthentication.WSFederationAuthenticationModule.SessionSecurityTokenCreated += new EventHandler<SessionSecurityTokenCreatedEventArgs>(WSFederationAuthenticationModule_SessionSecurityTokenCreated);
    FederatedAuthentication.WSFederationAuthenticationModule.SignedIn += new EventHandler(WSFederationAuthenticationModule_SignedIn);
}

void WSFederationAuthenticationModule_SignedIn(object sender, EventArgs e)
{
    //Anything that's needed right after succesful session and before hitting the application code goes here
    System.Diagnostics.Trace.WriteLine("Handling SignIn event");
}

void WSFederationAuthenticationModule_SessionSecurityTokenCreated(object sender, SessionSecurityTokenCreatedEventArgs e)
{
    //Manipulate session token here, for example, changing its expiration value
    System.Diagnostics.Trace.WriteLine("Handling SessionSecurityTokenCreated event");
    System.Diagnostics.Trace.WriteLine("Key valid from: " + e.SessionToken.KeyEffectiveTime);
    System.Diagnostics.Trace.WriteLine("Key expires on: " + e.SessionToken.KeyExpirationTime);
}

void WSFederationAuthenticationModule_SecurityTokenValidated(object sender, SecurityTokenValidatedEventArgs e)
{
    //All vlidation SecurityTokenHandler checks are successful
    System.Diagnostics.Trace.WriteLine("Handling SecurityTokenValidated event");
}

void WSFederationAuthenticationModule_SecurityTokenReceived(object sender, SecurityTokenReceivedEventArgs e)
{
    //Augment token validation with your cusotm validation checks without invalidating the token.
    System.Diagnostics.Trace.WriteLine("Handling SecurityTokenReceived event");
}

void WSFederationAuthenticationModule_AuthorizationFailed(object sender, AuthorizationFailedEventArgs e)
{
    //Use this event to report more details regarding the ahorization failure
    System.Diagnostics.Trace.WriteLine("Handling AuthorizationFailed event");
}

void WSFederationAuthenticationModule_RedirectingToIdentityProvider(object sender, RedirectingToIdentityProviderEventArgs e)
{
    //Use this event to programmatically modify the sign-in message to the STS.
    System.Diagnostics.Trace.WriteLine("Handling RedirectingToIdentityProvider event");
}

Opmerkingen

De WSFederationAuthenticationModule klasse implementeert een HTTP-module die bekend staat als de WS-Federation Authentication Module (WSFAM). De WSFAM wordt standaard geïmplementeerd door Windows Identity Foundation (WIF). De WSFAM wordt toegevoegd aan de ASP.NET-pijplijn door een vermelding in het web.config-bestand te maken. Het is afgeleid van HttpModuleBase, wat implementeert IHttpModule. Het registreert zich bij de ASP.NET-runtime om te luisteren naar de gebeurtenissen EndRequest en AuthenticateRequest. Door naar de EndRequest gebeurtenis te luisteren, kan de WSFAM clients omleiden naar een beveiligingstokenservice (STS) om een beveiligingstoken te verkrijgen wanneer autorisatie op een aangevraagde resource mislukt. Door naar de AuthenticateRequest gebeurtenis te luisteren, kan WSFAM HTTP-aanvragen bewaken voor een reactie van de STS die het aangevraagde token bevat. Wanneer een dergelijk token aanwezig en geldig is, wordt er een exemplaar gemaakt van de geverifieerde gebruiker met behulp van ClaimsPrincipal de claims die aanwezig zijn in het token.

Wanneer u WSFAM gebruikt, wordt sessiebeheer geleverd door een sessieverificatiemodule (SAM), een exemplaar van de SessionAuthenticationModule klasse of een klasse die ervan is afgeleid. De SAM wordt ook toegevoegd aan de ASP.NET-pijplijn in het configuratiebestand. De SAM bewaakt aanvragen voor verificatiecookies (sessiecookies). Wanneer deze cookies aanwezig en geldig zijn, haalt de module de ClaimsPrincipal voor de geverifieerde gebruiker uit en SessionSecurityToken stelt de HttpContext.User eigenschap en de eigenschappen van de thread-principal Thread.CurrentPrincipal in.

De WSFAM biedt:

• De mogelijkheid voor een ASP.NET-toepassing om verificatie uit te besteden aan een beveiligingstokenservice (STS) met behulp van het WS-Federation-protocol. Identiteit kan worden gefedereerd in een of meer identiteitsrealm's en meerdere STS's omvatten.

• Op claims gebaseerde identiteit voor ASP.NET toepassingen. Tijdens de verificatie bouwt de WSFAM een principal op van de claims in het beveiligingstoken dat door de STS wordt verzonden en stelt deze claimprincipaal in als thread-principal. U kunt deze principal vervolgens gebruiken om verdere autorisatie, presentatie en logische beslissingen te nemen over de gebruiker die deze vertegenwoordigt in uw code.

WSFAM bevat verschillende eigenschappen die standaard berichtparameters bieden die kunnen worden gebruikt voor WS-Federation aanmeldings- en afmeldingsaanvragen. Deze eigenschappen worden doorgaans geïnitialiseerd vanuit het <wsFederation-element> in een configuratiebestand. De belangrijkste van deze eigenschappen zijn:

• De Issuer eigenschap, waarmee het adres van de beveiligingstokenservice (STS) wordt opgegeven waarnaar WS-Federation aanmeldings- en afmeldingsaanvragen moeten worden verzonden.

• De Realm eigenschap, waarmee de wtrealm-parameter wordt opgegeven die moet worden gebruikt in WS-Federation aanmeldingsaanvragen. De parameter wtrealm identificeert de beveiligingsrealm van de relying party-toepassing (RP) aan de STS.

Parameters voor aanmeldingsberichten kunnen ook per aanvraag worden gewijzigd door een gemachtigde voor de RedirectingToIdentityProvider gebeurtenis op te geven.

Twee eigenschappen bepalen het gedrag van de module. Beide eigenschappen worden ook meestal geïnitialiseerd vanuit het <wsFederation> element in de configuratie.

• De PassiveRedirectEnabled eigenschap geeft aan of de module passieve omleidingen naar de STS moet uitvoeren voor verificatie.

• De PersistentCookiesOnPassiveRedirects eigenschap geeft aan of sessies permanent moeten zijn. Als deze eigenschap waar is ingesteld, wordt de SAM gebruikt om een sessiecookor naar de client te schrijven. Bij volgende aanvragen van de client biedt de SAM verificatie met behulp van het token dat in de sessiecookis wordt bewaard.

De WSFAM genereert verschillende gebeurtenissen tijdens het aanmelden en afmelden, waardoor ASP.NET ontwikkelaars het standaardgedrag van de module kunnen wijzigen en de details kunnen beheren van de manier waarop verificatie en claims worden verwerkt.

De volgende gebeurtenissen worden gegenereerd voordat de WS-Federation aanmeldingsaanvraag naar de STS wordt verzonden:

• AuthorizationFailed: Gegenereerd wanneer passieve omleiding is ingeschakeld en autorisatie mislukt voor een aangevraagde resource.

• RedirectingToIdentityProvider: Gegenereerd vlak voordat de WSFAM de WS-Federation aanmeldingsaanvraag naar de STS verzendt. U kunt deze gebeurtenis gebruiken om de parameters in de aanmeldingsaanvraag te wijzigen.

De volgende gebeurtenissen worden gegenereerd wanneer een aanmeldingsantwoord (uitgegeven beveiligingstoken) wordt ontvangen van de STS:

• SecurityTokenReceived: Net nadat het beveiligingstoken dat door de STS is verzonden, is gelezen uit het antwoord.

• SecurityTokenValidated: Gegenereerd net nadat het token is gevalideerd. U kunt deze gebeurtenis gebruiken om claims te filteren, transformeren of toevoegen aan de claims-principal (ClaimsPrincipal) die zijn gemaakt op basis van het beveiligingstoken.

• SessionSecurityTokenCreated: Net voordat het sessietoken (SessionSecurityToken) dat is gemaakt op basis van de claimprincipaal, wordt gebruikt om de thread-principal en huidige gebruiker in te stellen en wordt naar de sessiecooky geschreven. Biedt u de mogelijkheid om het sessietoken te wijzigen of het schrijven van de sessiecooky in of uit te schakelen.

• SignedIn: Gegenereerd aan het einde van de verificatie net nadat de thread-principal en de huidige gebruiker zijn ingesteld.

• SignInError: Gegenereerd als er een uitzondering optreedt tijdens het aanmelden. U kunt de aanvraag annuleren en voorkomen dat de uitzondering wordt geretourneerd naar de beller.

Wanneer u zich afmeldt bij een sessie of bij het verwerken van een WS-Federation opschoningsaanvraag (wsignoutcleanup1.0), worden de volgende gebeurtenissen gegenereerd:

• SigningOut: Gegenereerd vlak voordat de sessie wordt verwijderd om u in staat te stellen om opschonen uit te voeren die mogelijk afhankelijk is van de sessie of om afmelden te annuleren.

• SignedOut: Gegenereerd net nadat de sessie is verwijderd.

• SignOutError: Gegenereerd als er een uitzondering optreedt tijdens het afmelden. U kunt afmelden annuleren en voorkomen dat de uitzondering wordt geretourneerd naar de beller.

Er zijn twee manieren om u aan te melden bij een STS met WSFAM. De eerste is door passieve omleidingen via de PassiveRedirectEnabled eigenschap in te schakelen. In dit geval, wanneer autorisatie mislukt op een aangevraagde resource, in plaats van een 401:Access Denied antwoord te retourneren naar de client, bouwt WSFAM een WS-Federation aanmeldingsaanvraagbericht van de eigenschappen en leidt de client om naar de STS om een beveiligingstoken op te halen. De tweede manier is om de client expliciet om te leiden naar de STS door de SignIn methode aan te roepen vanaf een webpagina of aangepast besturingselement in uw toepassing. De SignIn methode gebruikt ook de eigenschappen van de WSFAM om de aanmeldingsaanvraag samen te stellen.

Een van de overbelaste SignOut methoden kan worden gebruikt om u af te melden bij de sessie. Hiermee verwijdert u de sessiecooky op de client. Er wordt geen WS-Federation afmeldingsbericht ('wsignout1.0') naar de STS verzonden. Als u zich wilt afmelden bij de STS, moet u de FederatedSignOut methode gebruiken.

De WSFAM verwerkt WS-Federation opschoningsaanvragen ('wsignoutcleanup1.0'), door de sessie met de client te verwijderen. Als de wreply-parameter in het afmeldingsbericht niet is ingesteld, retourneert WSFAM een afbeelding van een groen vinkje naar de STS die het bericht heeft verzonden. Deze functie kan door een STS worden gebruikt als bevestiging dat de RP de afmelding heeft voltooid.

De WSFAM toont de functionaliteit, bijvoorbeeld de pijplijn voor het verwerken van aanvragen, via verschillende taakspecifieke methoden. U kunt deze methoden in afgeleide klassen overschrijven om het gedrag van de WSFAM te wijzigen.

Als u deze wilt gebruiken, moet de module worden toegevoegd aan de pijplijn, zoals in de volgende XML:

<configuration>
  <system.webServer>
    <modules>
      <add name="WsFederationAuthenticationModule" type="System.IdentityModel.Services.WSFederationAuthenticationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
    </modules>
  </system.webServer>
</configuration>

Zodra deze is geconfigureerd, worden gebeurtenissen gegenereerd in verschillende fasen van het WSFederationAuthenticationModule verwerken van een HTTP-aanvraag. ASP.NET ontwikkelaars kunnen deze gebeurtenissen afhandelen in het bestand global.asax.