Как указать имя участника службы идентификации в клиенте WCF config для эмитента STS при связывании с использованием WS-Federation?Как установить имя пользователя-пользователя для идентификатора службы STS-эмитента для привязки ws-федерации по конфигурации?
У меня есть пул приложений, запущенный под учетной записью домена на сервере переднего конца, который пытается аутентифицировать использование федерации для бэкэнд-услуг на сервере приложений (работает под доменными соединениями), используя STS, также запущенную на сервере приложений и в домене Счет.
Чтобы правильно использовать Kerberos, мне нужно установить имя пользователя STS на внешнем клиенте. Я не понимаю, как это сделать.
У меня возникла проблема, связанная с подключением, которая связана с тем, что отказ от NTLM не работает, когда эмитент указан с использованием полного доменного имени, а Kerberos терпит неудачу (согласование SSPI не удалось). Я думаю, потому что у меня нет имени участника-эмитента в конфигурации. Если я задал эмитенту использование IP-адреса вместо этого, то, по-моему, для проверки подлинности на STS с использованием NTLM, так что у меня есть обходной путь.
STS выпускает токены на основе аутентификации Windows на этой конечной точке. У него есть другие конечные точки для типа auth и т. Д.
Возможно, связанная с этим проблема в нашей сети заключается в том, что клиенты Silverlight, которые обращаются к веб-службам, не работают без добавления серверов в зону локальной интрасети в IE. Похоже, что по какой-то причине серверы приложений не считаются находящимися в одном домене. Любые подсказки очень ценятся!