私は一歩を踏み外しているだけで、誰かが私を正しい方向に向けることができることを願っています. ユーザーは、PIN を使用して IIS を介して認証する CAC を持っています。入力したら、ユーザー名やパスワードを入力しなくても、Web サイトでユーザーを認証する必要があります。アクティブ ディレクトリ認証を使用できません。今回はフォーム認証を想定しています。
ログインしているユーザーが登録されており、その情報と許可されている役割がデータベースにあると仮定します (CAC のクライアント証明書の情報に基づいて検索できます)...どのようなプロセスが必要ですか?ウェブサイトでそのユーザーを認証するために実装/読み上げますか?
アドバイス/情報を事前にありがとうございます。
ブライアンW
証明書自体からデータを抽出することから始めます。電子メール証明書から抽出する場合、UserPrincipalName を取得できます。これは、潜在的なユーザーベースに対してほぼ完全に不変であり、名前が変更された場合でもユーザーにキーを設定できます。「通常の」ID 証明書を使用する場合は、CN 属性から 10 桁の番号 (EDIPI) を抽出する必要があります。これは不変になります。CN を使用して開始することもできますが、CN は不変ではなく、名前を変更すると後続のカードで変更されることに注意してください。一方、EDIPI は一定のままです [繰り返しますが、ユースケースの 99.9% 以上で。誰かが誤って 2 番目のカード / ID を発行した場合にのみ、これが失敗します。これは非常にまれです]。