8

私の ASP.NET MVC 4 アプリケーションでは、イントラネット テンプレートを使用して Windows 認証を実装しています。Fluent Security も使用しています。

すぐに使用できる以下の注釈を使用して、コントローラー メソッドへのアクセスを特定のドメイン グループまたはドメイン ユーザーに制限できます。

[Authorize(Roles=@"Domain\GroupName")]
public ActionResult Index()
{
    ViewBag.Message = "Modify this template to jump-start your ASP.NET MVC application.";

    return View();
}

[Authorize(Users=@"Domain\UserName")]
public ActionResult About()
{
    ViewBag.Message = "Your app description page.";

    return View();
}

Fluent Security を使用して、これら 2 つの方法を同じドメイン グループとドメイン ユーザーに制限するにはどうすればよいですか? ユーザーよりもグループに興味があります。カスタム ポリシーを作成する必要がありますか? その場合、認証されたユーザーがドメイン グループに属しているかどうかを確認して、Fluent Security が使用する適切なロールを返す方法がよくわかりません。

私はすでに FluentSecurity の開始を経験しているので、FluentSecurity の実装方法の基本は知っていますが、ドメイン グループをロールとして使用する方法がわかりません。

ありがとう!

4

1 に答える 1

3

役割にドメイン グループを使用する方法を見つけたかもしれません。Fluent Security Getting Started ページの拡張例を調整しました。

Global.asax.cs で:

SecurityConfigurator.Configure(configuration =>
{
    // Let Fluent Security know how to get the authentication status of the current user
    configuration.GetAuthenticationStatusFrom(() => HttpContext.Current.User.Identity.IsAuthenticated);

    // Let Fluent Security know how to get the roles for the current user
    configuration.GetRolesFrom(System.Web.Security.Roles.GetRolesForUser);

    // This is where you set up the policies you want Fluent Security to enforce
    configuration.For<HomeController>().Ignore();

    configuration.For<AccountController>().DenyAuthenticatedAccess();
    configuration.For<AccountController>(x => x.ChangePassword()).DenyAnonymousAccess();
    configuration.For<AccountController>(x => x.LogOff()).DenyAnonymousAccess();

    configuration.For<BlogController>(x => x.Index()).Ignore();
    configuration.For<BlogController>(x => x.AddPost()).RequireRole(@"Domain\Writers");
    configuration.For<BlogController>(x => x.AddComment()).DenyAnonymousAccess();
    configuration.For<BlogController>(x => x.DeleteComments()).RequireRole(@"Domain\Writers");
    configuration.For<BlogController>(x => x.PublishPosts()).RequireRole(@"Domain\Owners");

    // To authorize the Home Controller Index Action as in my original question
    configuration.For<HomeController>(c => c.Index()).RequireRole(@"Domain\GroupName");
});

GlobalFilters.Filters.Add(new HandleSecurityAttribute(), 0);

Web.config で:

<authentication mode="Windows" />
<authorization>
  <deny users="?" />
</authorization>
<roleManager defaultProvider="WindowsProvider"
      enabled="true"
      cacheRolesInCookie="false">
  <providers>
    <add
      name="WindowsProvider"
      type="System.Web.Security.WindowsTokenRoleProvider" />
  </providers>
</roleManager>

1 人のユーザーを承認する方法は見つかりませんでしたが、グループを使用することが一般的にベスト プラクティスであることは誰もが知っています。

これを行うより良い方法はありますか?

于 2012-11-16T13:50:26.430 に答える