問題タブ [asp.net-authorization]

Web サイトのセキュリティを設定するのはかなり初めてで、.NET MVC 環境で必要な認証/承認の種類に適したアーキテクチャ/設計/パターン/ベスト プラクティスを見つけるのに苦労しています。さらに調査を行うために、それを何と呼ぶべきかさえわかりません。以下は、私が実装する必要があるものの例です。これは何と呼ばれていますか？（マルチテナントではないと思います。）

ジョーは、食料品店チェーンのいくつかの店舗の棚卸作業を行っています。Joe は、店舗 A の在庫管理者 (アイテムの編集が可能) ですが、店舗 B の在庫係 (アイテムの表示のみ) であり、店舗 C へのアクセス権はありません。

したがって、Joe は、ストア A を編集しようとしActionResult Editている場合は にアクセスできるはずですが、ストア B または C を編集しようとしている場合はInventoryControllerアクセスできないはずです。ActionResult Edit

このシナリオでは、単純な ID またはクレーム ベースの承認では不十分ですが (そうは思いません)、さらに調査を行うために必要な設計の "名前" がわかりません。このデザインは何と呼ばれていますか？

VS2013、MVC5、VB

here on SO を含む多くの投稿では、役割の大幅な急増を招くことなく、承認の粒度を高めることができると主張しています。私はそれを正しく言ったことを願っています。

これは ClaimValue プロパティを使用することによってのみ達成されると考えるのは正しいですか?

それが正しくない場合でも、ClaimValue プロパティが使用されている場合は、ClaimValue の割り当てに何らかのスキームを使用する必要があります。ClaimValue を使用する標準的または典型的な方法はありますか? それとも、特定の状況に必要なものを工夫するだけですか?

投稿への追加: ロールに関する上記のコメントについて: この質問をするのは、コミュニティの多くがクレームをロールとして使用していますが、それが MVC5 でクレームを開発する最初の/主要な目的ではないように思われるためです。

したがって、「ロールのクレームの使用は問題ありませんか?」という質問にも追加する必要があります。または、ID クレームを格納するという意図された目的のために MVC クレーム機能を残して、パーミッション構造を作成する必要があります。 、承認に関して使用されるのではなく。

このテーマに関する多くの情報を見つけました。ただし、私の特定のシナリオを実装する方法はあまりありません。残念ながら、うちの会社のADはいわば妊娠中。ユーザーはそこにいますが、それだけです。

私はイントラネットを作成していますが、Windows 認証を使用してユーザーを認証する必要があることは明らかです。ただし、AD にはイントラネットで通常使用される追加情報 (ユーザーの階層、各従業員に関連付けられた管理者と部門など) が含まれていないため、そのニーズを満たすために Identity を使用したいと考えました。また、AD グループを利用していますが、そのセットアップを取得するのは非常に難しく、AD の代わりに ID をロール ベースの承認に使用したいと考えています。

Identity はかなり新しいものですが、理解するのは簡単で、Windows 認証は簡単に実装できます。

私が欠けているのは、この 2 つを結び付けるノウハウです。

だから私のシナリオは - Windows 認証でユーザーを認証します。認証されたら、役割ベースの承認 (要求?) およびその他のメタデータ (ユーザー情報やアプリケーション固有のデータなど) のために Identity に切り替えます。

この質問が尋ねられたのを見たことがありますが、それが本当に単純なのか、それとももっとあるのかはわかりません。そして、それが本当に私のシナリオに合っているかどうかはわかりません。そして、この質問はまさに私が求めているもののようですが、回答はありません。最後に、メンバーシップ プロバイダーを使用しているにもかかわらず、この質問は私が求めているものにさらに近いようです。これはIdentityでも同様ではないでしょうか？

そのため、私の例では、Windows 認証を使用しているため、ログイン フォームやアクションはありません (ユーザーにユーザー名/パスワードを入力させないという厳格な要件 - それは一見無意味なはずです)。従業員が初めてイントラネットにアクセスする場合、AD で認証しますが、そのユーザーを ID ストアに保存するにはどうすればよいでしょうか? 新しいユーザー (以前にイントラネットにアクセスしたことのない従業員) を、ID に関連付けられたレコードがあることを確認するために、AD を介して認証された後に登録ページに送信することは理にかなっていますか? 次に、登録プロセスの一環として、部門とマネージャーを選択させることができます。登録後、ユーザーが正しい部門とマネージャーを選択したことを確認するために、人による検証プロセスが必要になりますが、今のところ、それは私の心配のほとんどではありません.

推奨事項、リンク、または簡単なガイダンスをいただければ幸いです。ありがとう！

asp.net mvcプロジェクトの Windows 認証を有効にしました。私は会社のドメインにいますが、サーバー側に取得要求を送信すると、ヘッダー/本文にユーザー名/パスワードなどの特別なものが表示されません。サーバーはどのようにして私が誰であるかを知ることができますか? また、サーバーに ajax 呼び出しを送信する場合、この呼び出しの一部としてユーザー名/パスワードを含める必要がありますか? 助けてください。

2 つのユーザー グループのいずれかがアクセスできるコントローラー アクションを作成しています。各グループにはAuthorizationFilterAttribute、グループの承認方法を定義するカスタム ロジックを含む独自の実装があります。条件付き OR を使用して、少なくとも 1 つの属性承認フィルターが満たされていることを判断できるようにしたいと考えています。

私はこのようなことができることを望んでいました：

しかし、運が悪い！これをどのように達成できるかについてのアイデアはありますか?

Asp.Net のauthorize属性をカスタマイズしましたが、属性をメソッドまたはクラスに設定するときに、属性に設定したロールを取得する方法がわかりません。

たとえば、私はこの CustomeAuthorizeAttribute を持っています

しかし、このような属性にロールを設定すると、ロールを取得する方法がわかりません

[CustomeAuthorizeAttribute(Roles="admin,super-admin")]