mayo 2011 – O bruxo mobile

EF 4.1–EDMXWriter

En la última entrada del blog me hacía eco de la publicación de la primera CTP de EF 4.1 Power Tools, en esta entrada se mostró como a partir de una modelo de entidades y una unidad de trabajo de tipo DbContext podríamos generar un fichero EDM ( de solo lectura ) que nos permitera ver, de una forma gráfica, el modelo de entidades con el que estamos trabajando.Realmente, esto no es una novedad demasiado importante, puesto que, esto mismo, lo podemos hacer ahora mismo con unas pequeñas lineaas de código, gracias a una de esas nuevas clases incorporadas en EF 4.1, llamada EDMXWriter.

El uso, sería algo tan sencillo como lo siguiente:

Database.DefaultConnectionFactory = <span class="kwrd">new</span> SqlConnectionFactory(<span class="str">&quot;Server=.;Integrated Security=true&quot;</span>);
<span class="kwrd">using</span> (XmlWriter writer = <span class="kwrd">new</span> XmlTextWriter(<span class="str">@&quot;.out.edmx&quot;</span>, Encoding.UTF8))
{
     EdmxWriter.WriteEdmx(<span class="kwrd">new</span> SampleUnitOfWork(), writer);
}

Database.DefaultConnectionFactory = new SqlConnectionFactory("Server=.;Integrated Security=true");

using (XmlWriter writer = new XmlTextWriter(@".out.edmx", Encoding.UTF8))

{

EdmxWriter.WriteEdmx(new SampleUnitOfWork(), writer);

}

Para el caso del modelo ( SampleUnitOfWork con entidades Customer y Order) obtendríamos un EDMX como se puede apreciar en la siguiente imagen, fíjese como también se agrega la entidad EdmMetadata.

Saludos

Unai

EF 4.1 Power Tools CTP1

Lo tengo que decir y la verdad es que no me lo creo, si hace “cuatro dias” que ha salido EF 4.1, y yo mi libro sobre el tema , ahora resulta que vamos a tener unas Power Tools ¿?¿?… Por lo que se cuenta en el post de esta noticia esta primera CTP contendrá elementos referidos sobre todo a la integración de Code First con Visual Studio. De entre las novedades podemos ver algunas interesantes como:

Reverse Engineer: Gracias a la cual con una entrada en nuestro menu contextual podremos hacer “ingeniería inversa” de una base de datos e incorporar en nuestro proyecto clases y sus correspondientes mapeos ( usando el api fluent) que representen a esta base de datos. (Si quieres ampliar la información vete al post original )
View Entity Data Model: Permite obtener un EDMX de solo lectura que representa al modelo Code First, simplemente por ayuda a ver esta representación de forma visual.
View Entity Data Model XML y DDL SQL: Nos permite ver el XML del EDMX “asociado” y la vista DDL de la base de datos con la que nuestro DbContext intenta trabajar.
Optimize Entity Data Model: Permite “pre-generar” las vistas del modelo, sobre esto se ha hablado ya en este blog en distintos performance tips….

Saludos

Unai

Libro ADO.NET EF 4.1 ….

Aunque relativamente hace poco que se publicaba mi libro sobre ADO.NET EF 4.0, ya se dejaba claro, tanto en el libro como en algún post, que cuando la versión final de EF 4.1 estuviera lista se incluiría en el un pequeño apéndice con las novedades que este “agregado” incluyera. Poco a poco, esta idea quedaba claro que sería relativamente dificil de hacer, puesto que, el tamaño del apéndice estaba siendo “excesivamente grande” para el propósito que un apéndice tiene. Después de revisar con el editor las distintas posiblidades que teníamos, acordamos hacer una “segunda edición del libro” incluyendo un capítulo de unas 100 páginas aproximadamente sobre EF 4.1. Puesto que este cambio, con esta gran cantidad nueva de páginas, hacia muy dificil etiquetar la versión como simplemente una nueva edición, decididimos hacer una nueva “version” modificando incluso la carátula del mismo para dejar claro el cambio, incluyendo por supuesto un nuevo ISBN.

Lógicamente, los que hayais comprando el libro anterior os estaréis haciendo la pregunta de “ ¿y ahora que, tengo que comprarme un libro nuevo para acceder al contenido nuevo?, que faena ”. Pues bien, tal y como ya había adelantado en algunos post, para todos los compradores ( ojo, una cosa es disponer del libro, regalado en algún evento por ejemplo, y otra haberlo comprado) habrá un cupón especial que les permitirá acceder a un PDF con el contenido extra por la cantidad de 3 € . Acceder a este precio se hará directamente por medio de una comunicación del editor con vosotros, os enviará, a todos los compradores, un correo con las instrucciones precisas.Para todos aquellos que no tengais la edición anterior, o bien fuera un regado, el contenido extra estará disponible por 10 € , cantidad que considero más que aceptable ( 10 céntimos por página ) aunque no sean los 5 € de los que hablaba Jose Manuel Alarcón en un de sus últimos post.

Para terminar, queda hablar de los precios del nuevo libro entero como tal, en este caso, la edición en papel tendrá el precio de 45 € y en su edición digital en 30 €.

Bueno, sin más un saludo y, si tenéis algún comentario, no dudeis en dejarlo..

Unai Zorrilla Castro

WIF es sencillo, úsalo #3-3

En nuestra anterior entrada vimos como modificar el manejador de tokens de nuestro STS, de forma, que podíamos cambiar el sistema de autenticación de usarios dentro de este. De hecho, modificamos el STS generado por defecto con FedUtil introduciendo un UsernameSecurityTokenHandler personalizado. A lo largo de esta entrada, veremos algunos elementos particulares de nuestra configuración que no han sido tenidos en cuenta pero que también es importante entenderlos.

IssuerNameRegistry

Si leemos la documentación del SDK de WIF podemos ver a esta pieza como la responsable de rechazar los tokens de emisores inválidos, STS en los que no confiamos. Por defecto, las plantillas del asistente establecen un IssuerNameRegistry por defecto conocido como ConfigurationBasedIssuerNameRegistry que hace el mapeo y rechazo de los emisores en función del thumbprint del token ( certificado ) presentado. Como también se comenta en la documentación, este elemento debe de ser reemplazado en producción, creando un IssuerNameRegistry customizado

The <?XML:NAMESPACE PREFIX = [default] http://ddue.schemas.microsoft.com/authoring/2003/5 NS = «http://ddue.schemas.microsoft.com/authoring/2003/5» />IssuerNameRegistry class provides a name service that returns the issuer name of a given token. WIF provides a ConfigurationBasedIssuerNameRegistry to demonstrate an easy way to get started, but it is recommended that developers write a custom implementation that derives from the IssuerNameRegistry class.

Crear un nuevo issuer name registry es “tan sencillo o complicado” como crear una subclase de IssuerNameRegistry y sobreescribir el método GetIssuerName.

    <span class="kwrd">public</span> <span class="kwrd">class</span> CustomIssuerNameRegistry
        :IssuerNameRegistry
    {
        <span class="kwrd">public</span> <span class="kwrd">override</span> <span class="kwrd">string</span> GetIssuerName(System.IdentityModel.Tokens.SecurityToken securityToken)
        {
           
        }
    }

public class CustomIssuerNameRegistry

:IssuerNameRegistry

{

public override string GetIssuerName(System.IdentityModel.Tokens.SecurityToken securityToken)

{

}

Si el valor devuelto por este método es nulo, entonces el sistema interpreta que este issuer no es admitido y por lo tanto no es posible aceptar tokens del mismo. Lógicamente, este trabajo requeriría en la realidad de disponer de un almacen configurable de issuers y propiedades de los mismos que pudiéramos configurar y administrar. Este trabajo, no lo haremos en este post ( igual en futuros …), solamente incluiremos una posible implementación “tonta” que devuelve el nombre del STS utilizado en los ejemplos.

    <span class="kwrd">public</span> <span class="kwrd">class</span> CustomIssuerNameRegistry
        :IssuerNameRegistry
    {
        <span class="kwrd">public</span> <span class="kwrd">override</span> <span class="kwrd">string</span> GetIssuerName(System.IdentityModel.Tokens.SecurityToken securityToken)
        {
            <span class="kwrd">if</span> (securityToken == <span class="kwrd">null</span>)
                <span class="kwrd">throw</span> <span class="kwrd">new</span> ArgumentNullException(<span class="str">"securityToken"</span>);

            X509SecurityToken x509Token = securityToken <span class="kwrd">as</span> X509SecurityToken;
            <span class="kwrd">if</span> (x509Token != <span class="kwrd">null</span>)
            {
                <span class="kwrd">return</span> <span class="str">"http://localhost:2325/CRMService_STS/Service.svc"</span>;
            }
            <span class="kwrd">else</span>
                <span class="kwrd">return</span> <span class="kwrd">null</span>;
        }
    }

public class CustomIssuerNameRegistry

:IssuerNameRegistry

{

public override string GetIssuerName(System.IdentityModel.Tokens.SecurityToken securityToken)

{

if (securityToken == null)

throw new ArgumentNullException("securityToken");

X509SecurityToken x509Token = securityToken as X509SecurityToken;

if (x509Token != null)

{

return "http://localhost:2325/CRMService_STS/Service.svc";

}

else

return null;

}

AudienceUri

Si revisamos la configuración de nuestro RP veremos como la sección microsoft.identitymodel incluye dentro de ella un elemento llamado AudienceUris. Este elemento nos permite establecer una colección de elementos validos a los que se les aplica un toquen. Es decir, cuando un token es emitido este se establece o aplica para alguien, el RP que lo ha solicitado. Este token incluye una propiedad AppliesTo gracias a la cual podremos validar que el mismo se aplica al RP que tenemos. Por ello esta colección por defecto ya contiene la dirección del RP con el que estemos. Lógicamente, si esta información no es igual que la que trae el token se nos producirá una excepción de seguridad.

&lt;microsoft.identityModel&gt;
    &lt;service name=<span class="str">"CRMService.CRMManager"</span>  &gt;
      &lt;audienceUris&gt;
        &lt;add <span class="kwrd">value</span>=<span class="str">"http://localhost/CRMService"</span> /&gt;
      &lt;/audienceUris&gt;

<microsoft.identityModel>

</audienceUris>

Federation Metadata

Otro de los elementos importantes cuando estamos trabajando con nuestros RP y STS es la información de metadata. Si recuerda de las primeras entradas, el asistente de WIF, FedUtil nos genera un nuevo STS y crea en el proyecto de este un archivo llamado FederationMetadata.xml. Este archivo, firmado por defecto con el asistente utilizando un certificado llamado STSCert nos permite exponer toda la información del STS, incluyendo en esta por ejemplo la información de los claims que este conoce y que puede enviar en los tokens de autenticación. Se podría decir que estos documentos son a la seguridad como el WSDL a los servicios. Como se imaginará, mantener estos documentos actualizados es una tarea vital, sobre todo si estos son nuestro contrato de relación con los RP. Por defecto, este trabajo no lo tenemos disponible de una forma sencilla, es decir, cuando creamos un STS el asistente nos genera el archivo de metadata y las entradas necesarios en el web.config para dejarlo accesible, sin embargo, si añadimos nuevas claims a nuestros tokens o bien cambiamos alguna configuración este archivo no se actualiza y por lo tanto podría darnos problemas. Lógicamente, como está firmado, trabajar a mano con este documento no es posible como se imaginará.

Para nuestra tarera de automatizar la generación dinámica de este archivo de metadata tenemos varias opciones, opciones que puede ver en este post. En realidad, cualquiera de las dos opciones es buena, la primera, la habitual de Vittorio Bertocci es la de disponer de un servicio WCF REST que genere esta metadata al vuelo, algo parecido al código siguiente. Tenga en cuenta que este código es “codigo demo” y por lo tanto no valdría directamente para producción ya que fija direcciones del STS, del login pasivo, del certificado a usar y hasta de las claims a emitir, no obstante, es una buena base para empezar a adaptar en caso de querer disponer de este sistema.

    <span class="kwrd">public</span> <span class="kwrd">class</span> FederationMetadata : IFederationMetadata
    {

        System.Xml.Linq.XElement IFederationMetadata.FederationMetadata()
        {
            <span class="rem">// hostname </span>
            <span class="kwrd">string</span> host = WebOperationContext.Current.IncomingRequest.Headers[<span class="str">"Host"</span>];
            EndpointAddress realm = <span class="kwrd">new</span> EndpointAddress(String.Format(<span class="str">"https://{0}"</span>, host));
            EndpointAddress passiveEndpoint = <span class="kwrd">new</span> EndpointAddress(String.Format(<span class="str">"https://{0}/Sts.aspx"</span>, host));
            <span class="rem">// metadata document</span>
            EntityDescriptor entity = <span class="kwrd">new</span> EntityDescriptor(<span class="kwrd">new</span> EntityId(realm.Uri.AbsoluteUri));
            SecurityTokenServiceDescriptor sts = <span class="kwrd">new</span> SecurityTokenServiceDescriptor();
            entity.RoleDescriptors.Add(sts);
            <span class="rem">// signing key </span>
            var signingCredentials = <span class="kwrd">new</span> X509SigningCredentials(CertificateUtil.GetCertificate(
                                                                StoreName.My, StoreLocation.LocalMachine,
                                                               <span class="str">"CN=STSTestCert"</span>));

            KeyDescriptor signingKey = <span class="kwrd">new</span> KeyDescriptor(signingCredentials.SigningKeyIdentifier);
            signingKey.Use = KeyType.Signing;
            sts.Keys.Add(signingKey);

            <span class="rem">// claim types </span>
            sts.ClaimTypesOffered.Add(<span class="kwrd">new</span> DisplayClaim(ClaimTypes.Email, <span class="str">"email address"</span>, <span class="str">"The subject’s email address."</span>));
            <span class="rem">// passive federation endpoint </span>
            sts.PassiveRequestorEndpoints.Add(passiveEndpoint);
            <span class="rem">// supported protocols </span>
            sts.ProtocolsSupported.Add(<span class="kwrd">new</span> Uri(WSFederationConstants.Namespace));
            <span class="rem">// add passive STS endpoint</span>
            sts.SecurityTokenServiceEndpoints.Add(passiveEndpoint);
            <span class="rem">// metadata signing</span>
            entity.SigningCredentials = signingCredentials;
            <span class="rem">// serialize</span>
            MetadataSerializer serializer = <span class="kwrd">new</span> MetadataSerializer();
            MemoryStream stream = <span class="kwrd">new</span> MemoryStream();
            serializer.WriteMetadata(stream, entity);
            stream.Flush(); 
            stream.Seek(0, SeekOrigin.Begin);
            XmlReader xmlReader = XmlTextReader.Create(stream);
            <span class="kwrd">return</span> XElement.Load(xmlReader);
        }

public class FederationMetadata : IFederationMetadata

{

System.Xml.Linq.XElement IFederationMetadata.FederationMetadata()

{

// hostname

string host = WebOperationContext.Current.IncomingRequest.Headers["Host"];

EndpointAddress realm = new EndpointAddress(String.Format("https://{0}", host));

EndpointAddress passiveEndpoint = new EndpointAddress(String.Format("https://{0}/Sts.aspx", host));

// metadata document

EntityDescriptor entity = new EntityDescriptor(new EntityId(realm.Uri.AbsoluteUri));

SecurityTokenServiceDescriptor sts = new SecurityTokenServiceDescriptor();

entity.RoleDescriptors.Add(sts);

// signing key

var signingCredentials = new X509SigningCredentials(CertificateUtil.GetCertificate(

StoreName.My, StoreLocation.LocalMachine,

"CN=STSTestCert"));

KeyDescriptor signingKey = new KeyDescriptor(signingCredentials.SigningKeyIdentifier);

signingKey.Use = KeyType.Signing;

sts.Keys.Add(signingKey);

// claim types

sts.ClaimTypesOffered.Add(new DisplayClaim(ClaimTypes.Email, "email address", "The subject’s email address."));

// passive federation endpoint

sts.PassiveRequestorEndpoints.Add(passiveEndpoint);

// supported protocols

sts.ProtocolsSupported.Add(new Uri(WSFederationConstants.Namespace));

// add passive STS endpoint

sts.SecurityTokenServiceEndpoints.Add(passiveEndpoint);

// metadata signing

entity.SigningCredentials = signingCredentials;

// serialize

MetadataSerializer serializer = new MetadataSerializer();

MemoryStream stream = new MemoryStream();

serializer.WriteMetadata(stream, entity);

stream.Flush();

stream.Seek(0, SeekOrigin.Begin);

XmlReader xmlReader = XmlTextReader.Create(stream);

return XElement.Load(xmlReader);

}

&nbsp;

Una alternativa a la creación de un servicio WCF REST es la de crear un IHttpHandler que responda a una dirección, generalmente a algo como 2007-07/FederationMetadata.xml que genere, con un código similar al anterior, la información de metadata.

Con esto acabamos esta corta entrada, en capítulos siguientes veremos algunos elementos más avanzados como REALM,ActAs etc.. para despues pasar a elementos pasivos como ASP.NET y ASP.NET MVC….. hasta la siguiente

Saludos

Unai

WIF es sencillo, úsalo #3-2

En la anterior entrada hemos visto como usar WIF para configurar un servicio WCF que delegue todo el proceso de authenticación de los usarios conectados a este servicio. En este sencillo ejemplo, no nos preocupamos de ningún tipo de configuración, dejando los parametros por defecto, de los generados por el asistente FedUtil. A lo largo de esta entrada, veremos como modificar algunos elementos habituales en nuestros Security Token Service. Para ello, partiremos del ejemplo entregado en la entrada 3-1 y sobre él haremos todo el trabajo.

Modificación de la autenticación

Una de las cosas más habituales en cuanto a la configuración de un STS ( lógicamente si este hace las tareas de un Identity Provider) es el cambio del mecanismo de autenticación. Por defecto, cuando creamos un STS por medio de nuestro asistente este nos presenta la configuración por defecto, delegando la autenticación de los tokens en un manejador llamado WindowsUserNameSecurityTokenHandler. Si no queremos utilizar las credenciales Windows como mecanismo de validación de los usuarios tenemos que modificar el “handler” asociado. Esta tarea, requiere de varios pasos, en primer lugar, modificar el binding asociado al endpoint que por defecto presenta el siguiente aspecto.

     &lt;ws2007HttpBinding&gt;
        &lt;binding name=<span class="str">&quot;ws2007HttpBindingConfiguration&quot;</span>&gt;
          &lt;security mode=<span class="str">&quot;Message&quot;</span>&gt;
            &lt;message establishSecurityContext=<span class="str">&quot;false&quot;</span>  /&gt;
          &lt;/security&gt;
        &lt;/binding&gt;
      &lt;/ws2007HttpBinding&gt;

</security>

</binding>

</ws2007HttpBinding>

Aunque pueda pensar que nuestro trabajo consiste en delegar en WCF y sus enlaces todo el proceso, en realidad, WIF, puentea toda la infraestructura para delegar el trabajo en su propio stack. Si queremos establecer una autenticación en base a usuario y contraseña, por ejemplo, tendríamos que modificar la configuración anterior incluyendo el atributo clientCredentialType=”UserName”.

     &lt;ws2007HttpBinding&gt;
        &lt;binding name=<span class="str">&quot;ws2007HttpBindingConfiguration&quot;</span>&gt;
          &lt;security mode=<span class="str">&quot;Message&quot;</span>&gt;
            &lt;message establishSecurityContext=<span class="str">&quot;false&quot;</span> clientCredentialType=<span class="str">&quot;UserName&quot;</span>  /&gt;
          &lt;/security&gt;
        &lt;/binding&gt;
      &lt;/ws2007HttpBinding&gt;

</security>

</binding>

</ws2007HttpBinding>

Una vez hecho esto, procederemos a indicarle a WIF cual será el manejador de los tokens que lleguen a nuestro STS, para ello, incluiremos la sección de configuración personalizada Microsoft.IdentityModel y estableceremos un “handler” concreto.

  &lt;microsoft.identityModel&gt;
    &lt;service&gt;
      &lt;securityTokenHandlers&gt;
        &lt;remove type=<span class="str">&quot;Microsoft.IdentityModel.Tokens.WindowsUserNameSecurityTokenHandler,Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35&quot;</span>/&gt;
        &lt;add type=<span class="str">&quot;Helpers.CustomTokenHandler,Helpers&quot;</span>/&gt;
      &lt;/securityTokenHandlers&gt;
    &lt;/service&gt;
  &lt;/microsoft.identityModel&gt;

<microsoft.identityModel>

</securityTokenHandlers>

</service>

</microsoft.identityModel>

Fíjese como en esta sección se ha quitado el manejador encantado de “manejar” identidades windows por un nuevo manejador llamado CustomTokenHandler. Todos estos “manejadores” están incluído dentro de la jerarquía que impone SecurityTokenHandler y que por defecto ,podemos ver en la siguiente imagen extraída de reflector.

Cada uno de los handlers de esta jerarquía nos servirán como base para los distintos mecanismos de autenticación, usuario, kerberos, certificados, tokens saml11 o saml2 etc… Como nuestro propósito es crear un manejador para credenciales de tipo usuario/contraseña tendremos que hacer una implementación personalizada de la clase UserNameSecurityTokenHandler.

Crear un manejador de tokens de seguridad es tan sencillo como sobreescribir dos elementos, una propiedad llamada CanValidateToken y un método de validación de tokens ValidateToken. El siguiente fragmento de código nos muestra una posible implementación de un token de seguridad, lógicamente, es un ejemplo sencillo y no se hace la validación de los tokens contra ningún almacen, dejamos para usted, amigo lector, esta tarea.

    <span class="kwrd">public</span> <span class="kwrd">class</span> CustomTokenHandler
    : Microsoft.IdentityModel.Tokens.UserNameSecurityTokenHandler
    {
        <span class="kwrd">public</span> <span class="kwrd">override</span> <span class="kwrd">bool</span> CanValidateToken
        {
            get
            {
                <span class="kwrd">return</span> <span class="kwrd">true</span>;
            }
        }
        <span class="kwrd">public</span> <span class="kwrd">override</span> Microsoft.IdentityModel.Claims.ClaimsIdentityCollection ValidateToken(System.IdentityModel.Tokens.SecurityToken token)
        {
            <span class="rem">//validate the token, the SecurityToken can be ( RsaSecurityToken,WindowsSecurityToken,SessionSecurityToken ..... ) but</span>
            <span class="rem">//for UserNameSecurityTokenHandler the SecurityToken is a UserNameSecurityToken</span>

            UserNameSecurityToken userNameToken = token <span class="kwrd">as</span> UserNameSecurityToken;
            <span class="kwrd">if</span> (userNameToken != <span class="kwrd">null</span>)
            {
                <span class="rem">//TODO:validate data into a specific store</span>

                <span class="kwrd">if</span> (userNameToken.UserName.Equals(<span class="str">&quot;unai&quot;</span>, StringComparison.InvariantCultureIgnoreCase))
                {
                    <span class="rem">//Create the principal claims identity collection</span>
                    var claims = <span class="kwrd">new</span> ClaimsIdentityCollection();
                    var claimIdentity = <span class="kwrd">new</span> ClaimsIdentity();

                    <span class="rem">//assign identity ( this is the input collection of claims in GetOutputClaimsIdentity in SecurityTokenService)</span>
                    claimIdentity.Claims.Add(<span class="kwrd">new</span> Claim(WSIdentityConstants.ClaimTypes.Name, <span class="str">&quot;unai&quot;</span>));

                    <span class="rem">//return claims</span>
                    claims.Add(claimIdentity);
                    <span class="kwrd">return</span> claims;
                }
                <span class="kwrd">else</span>
                    <span class="kwrd">throw</span> <span class="kwrd">new</span> SecurityException(<span class="str">&quot;Invalid user or password&quot;</span>);
            }
            <span class="kwrd">else</span>
                <span class="kwrd">throw</span> <span class="kwrd">new</span> SecurityException(<span class="str">&quot;Invalid token for Custom Token Handler!&quot;</span>);

        }
    }

public class CustomTokenHandler

: Microsoft.IdentityModel.Tokens.UserNameSecurityTokenHandler

{

public override bool CanValidateToken

{

get

{

return true;

}

public override Microsoft.IdentityModel.Claims.ClaimsIdentityCollection ValidateToken(System.IdentityModel.Tokens.SecurityToken token)

{

//validate the token, the SecurityToken can be ( RsaSecurityToken,WindowsSecurityToken,SessionSecurityToken ..... ) but

//for UserNameSecurityTokenHandler the SecurityToken is a UserNameSecurityToken

UserNameSecurityToken userNameToken = token as UserNameSecurityToken;

if (userNameToken != null)

{

//TODO:validate data into a specific store

if (userNameToken.UserName.Equals("unai", StringComparison.InvariantCultureIgnoreCase))

{

//Create the principal claims identity collection

var claims = new ClaimsIdentityCollection();

var claimIdentity = new ClaimsIdentity();

//assign identity ( this is the input collection of claims in GetOutputClaimsIdentity in SecurityTokenService)

claimIdentity.Claims.Add(new Claim(WSIdentityConstants.ClaimTypes.Name, "unai"));

//return claims

claims.Add(claimIdentity);

return claims;

}

else

throw new SecurityException("Invalid user or password");

}

else

throw new SecurityException("Invalid token for Custom Token Handler!");

}

Con estos pasos, ya tenemos modificado nuestro sistema de autenticación, aunque nos falta un pequeño paso. Este consiste en incluir el certificado a usar para la encriptación de los datos incluidos en el mensaje de validación (user/pwd) igual que con cualquier servicio WCF. Para ello, simplemente incluiremos dentro de nuestro comportamiento una entrada ServiceCredentials.

     &lt;serviceBehaviors&gt;
        &lt;behavior name=<span class="str">&quot;ServiceBehavior&quot;</span>&gt;
          &lt;serviceMetadata httpGetEnabled=<span class="str">&quot;true&quot;</span> /&gt;
          &lt;serviceDebug includeExceptionDetailInFaults=<span class="str">&quot;false&quot;</span> /&gt;
          &lt;serviceCredentials&gt;
            &lt;serviceCertificate findValue=<span class="str">&quot;PORTBLACKCODE&quot;</span> x509FindType=<span class="str">&quot;FindByIssuerName&quot;</span> /&gt;
          &lt;/serviceCredentials&gt;
        &lt;/behavior&gt;
      &lt;/serviceBehaviors&gt;

</serviceCredentials>

</behavior>

</serviceBehaviors>

Ahora ya tenemos todo el trabajo realizado, solamente nos quedará actualizar nuestros clientes para actualizar la configuración de los enlaces hacia nuestros STS. Desde esta dirección de Sky Drive podrá descargarse el ejemplo modificado, lógicamente tendrá que actualizar la información refererida a los certificados.