Siempre que uno se pone a jugar con WIF, en general con el concepto de “authentication outsourcing”, se encuentra con que la mayoría de ejemplos son los sencillos, utilizando autenticación Windows. Sin embargo, en la mayoría de las aplicaciones que construímos, los mecanismos de autenticación ( porque los exponemos por internet o bien porque no tenemos un AD a nuestra disposición con todo el repositorio de usuarios ) suelen diferir de estos. Como en mi correo, el uso de una autenticación “custom” con WIF suele ser una pregunta habitual, me he decidido por poner esta entrada intentando mostrar los pasos necesarios para realizarla. Lógicamente, asumiremos que el lector ya tiene los conocimientos básicos sobre WIF y la situación de las distintas piezas en un escenario básico.
Aunque en un principio pudiera parecer que el objetivo a la hora de securizar un STE por medio de una autenticación personalizada pudiera pasar por la configuración del binding del mismo, por otra parte tal y como hacemos en los servicios wcf tradicionales, la realidad es que la integración de WIF con WCF y los hooks de esta API sobre la extensibilidad nos permiten modificar la autenticación en esta pieza, el STE, haciendo uso de los SecurityTokenHandlers y las subclases de esta. La configuración por defecto en la plantilla de STE es seguridad basada en el mensaje con credenciales Windows, por lo tanto usando el WindowsUserNameSecurityTokenHandler. Si quisiéramos cambiar este mecanismo, y por ejemplo, incluir una validación personalizada de usuario/contraseña solamente tendríamos que realizar las siguientes tareas.
- Modificar el binding del STE para establecer el tipo de credenciales a UserName
1 2 3 4 5 |
<binding name=<span class="str">"ws2007HttpBindingConfiguration"</span>> <security mode=<span class="str">"Message"</span>> <message establishSecurityContext=<span class="str">"false"</span> clientCredentialType=<span class="str">"UserName"</span> /> </security> </binding> |
- Crear un CustomUserNameSecurityTokenHandler como sigue:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
<span class="kwrd">public</span> <span class="kwrd">class</span> CustomUserNameSecurityTokenHandler :UserNameSecurityTokenHandler { <span class="kwrd">public</span> <span class="kwrd">override</span> <span class="kwrd">bool</span> CanValidateToken { get { <span class="kwrd">return</span> <span class="kwrd">true</span>; } } <span class="kwrd">public</span> <span class="kwrd">override</span> Microsoft.IdentityModel.Claims.ClaimsIdentityCollection ValidateToken(System.IdentityModel.Tokens.SecurityToken token) { UserNameSecurityToken userToken = token <span class="kwrd">as</span> UserNameSecurityToken; <span class="kwrd">if</span> (userToken != <span class="kwrd">null</span>) { <span class="kwrd">string</span> user = userToken.UserName; <span class="kwrd">string</span> password = userToken.Password; <span class="rem">//TODO: Esto es un mejor ejemplo para el blog, </span> <span class="rem">//por favor incluir aquí la lógica de validacion necesaria</span> <span class="kwrd">if</span> (user.StartsWith(<span class="str">"plainconcepts"</span>)) { IClaimsIdentity identity = <span class="kwrd">new</span> ClaimsIdentity(); identity.Claims.Add(<span class="kwrd">new</span> Claim(WSIdentityConstants.ClaimTypes.Name, user)); <span class="kwrd">return</span> <span class="kwrd">new</span> ClaimsIdentityCollection(<span class="kwrd">new</span> IClaimsIdentity[] { identity }); } <span class="kwrd">else</span> <span class="kwrd">throw</span> <span class="kwrd">new</span> InvalidOperationException(); } <span class="kwrd">else</span> <span class="kwrd">throw</span> <span class="kwrd">new</span> InvalidOperationException(); } } |
- Configurar dentro del STE la inclusión de este token handler
1 2 3 4 5 6 7 8 9 10 11 |
<configSections> <section name=<span class="str">"microsoft.identityModel"</span> type=<span class="str">"Microsoft.IdentityModel.Configuration.MicrosoftIdentityModelSection, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"</span> /> </configSections> <microsoft.identityModel> <service> <securityTokenHandlers> <remove type=<span class="str">"Microsoft.IdentityModel.Tokens.WindowsUserNameSecurityTokenHandler,Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"</span>/> <add type=<span class="str">"Helper.CustomUserNameSecurityTokenHandler,Helper"</span>/> </securityTokenHandlers> </service> </microsoft.identityModel> |
1 |
|
Con estos tres pasos básicos ya tenemos nuestro STS funcionando con autenticación personalizada, espero que a alguno le sea de utilidad…
Saludos
Unai