À l'aide de WIF, quelle est la différence entre audienceUris et royaume?

Nous avons une ASP.NET application à l'aide de WIF. Notre site web.fichier de configuration a une section comme celle-ci:

<audienceUris>
    <add value="https://someapp.mycompany.com/App/" />
</audienceUris>
<federatedAuthentication>
    <wsFederation passiveRedirectEnabled="true" issuer="https://adfs.mycompany.com/adfs/ls/" realm="https://someapp.mycompany.com/App/" requireHttps="true" />
    <cookieHandler requireSsl="false" />
</federatedAuthentication>

Chaque exemple je vois à la fois la audienceUris et realm ont la même valeur. Quelle est la différence entre ces deux? Avons-nous besoin des deux à la fois?

InformationsquelleAutor Bryan | 2012-08-02
  1. 36

    La realm est l'identifiant unique de l'application -- l'identité qui est envoyé à la STS lors de la connexion. Cependant, la audienceUris élément est utilisé à la limite de ce que les applications le jeton sera accepté.

    Par exemple, un utilisateur de la connexion et de recevoir leur jeton à partir d'une autre partie de confiance, puis accédez à votre application. Si la demande du royaume est répertorié dans la audienceUris, le jeton sera accepté et ils peuvent avoir accès au site (en supposant que l'application peut également lire le cookie).

    Si vous pensez à un jeton comme un passeport, c'est comme dire que la Grande-Bretagne va laisser les gens avec un AMÉRICAIN ou Britannique passeport.

    En réponse à votre question, vous devez les inclure à la fois, mais ils peuvent être le même.

    • Merci, cela ne l'aide. L'une des raisons pour poser cette question, que nous nous demandions si et comment il est possible de se connecter directement à un serveur dans une ferme. Ainsi, dans l'application est dans une ferme, puis la audienceUris et le royaume serait l'URL de la batterie. Mais que faire si nous voulions connecté directement à une des machines de la ferme? Est-ce possible?
    • Le royaume n'est pas vraiment l'URL. C'est simplement un identifiant. Il pourrait être la iloveadfsandidontcare.com ou tout URI, tant qu'il est unique à votre STS. L'URL du point de terminaison est défini dans AD FS, et qui définit où le signe-dans la réponse est envoyée. Donc, si vous voulez aller directement à une URL spécifique dans la batterie de serveurs, vous devez configurer que dans les services AD FS.
    • Si je change de domaine de mon site web.config pour que l'URI que vous avez et je garde le audienceUris le même (l'URL de mon application), j'obtiens un message d'erreur indiquant que les deux doivent correspondre. (AudienceUriValidationFailedException: ID1038: Le AudienceRestrictionCondition n'était pas valide car la Public n'est pas présent dans AudienceUris.) Donc, on dirait qu'ils sont à la fois nécessaires et ils ont tous deux la même.
    • À droite, votre domaine doit être dans le public liste (n'est pas logique d'exclure votre propre partie de confiance), mais la liste peut également inclure d'autres.
    • J'ai localhost/ApplicationA et localhost/ApplicationB projets. Alors est-il possible pour moi d'ajouter à la fois l'url dans la audienceUris...? J'ai mon royaume que localhost/ApplicationA.... c'est mon post: stackoverflow.com/q/17739147/1343516
    InformationsquelleAutor Garrett Vlieger