問題タブ [authorization]

別のサービスを使用してログインするためにhttps://rpxnow.com/を使用するとスタック オーバーフローになりますか? もしそうなら、それは良いですか？また、良い（無料が望ましい、PHP APIが望ましい）代替手段はありますか？

私が探しているのは、ユーザーが主要な Web オープン ID プロバイダー + Facebook 接続を使用してログインできるログイン ページです。

複数の WCF サービスをホストするアプリケーションがあります。完全に機能するカスタム ServiceAuthorizationManager を作成しました。ユーザー名とパスワードを取得するために、OperationContext.IncomingMessageHeaders のいくつかの要素を調べます。これは、プラットフォームに組み込まれているものを使用できない環境のいくつかの制限を克服するためでした. マネージャーは、いくつかの必要なカスタム オブジェクトを含むカスタム IPrincpal を作成し、現在実行中のスレッドに配置して、後で WCF ビジネス ロジックで使用できるようにします。これはうまくいっています。

問題は、ワークフローである WCF サービスがあり、そこで同じメカニズムを使用する必要があることです。Manager は正しく呼び出されていますが、Thread の currentPrincpal を実行すると、カスタム プリンシパルではなく、genericprincipal になります。調査の結果、ワークフロー ランタイムがスレッドを作成しており、WCF 呼び出しが行われたスレッドを使用していないことがわかりました。

誰かがこの問題に遭遇しましたか?それに対する良い解決策はありますか?

渡された XML メッセージからログイン資格情報を受け入れる Web サービスを開発しました。サービスを使用する開発者はログイン資格情報を簡単に共有でき、同じ資格情報を使用する他のアプリケーションからサービスを呼び出すことができるため、この方法には懸念があります。
特定のアプリケーションに「ライセンス」を発行する方法はありますか? そのため、使用するアプリ間で資格情報が共有されている場合でも、承認されたアプリのみがサービスを正常に使用できます。

PS: IP 制限を実装することを考えましたが、同じサーバーに異なるアプリケーションがインストールされている可能性があるため、それは目的を果たしません (そのようなシナリオが実装されています)。

別のサイトのサブディレクトリにアプリケーションとしてセットアップされた asp.net (動的データ) Web サイトがあります。このサイトには、最上位サイトとは異なるセキュリティ設定が必要です。何かのようなもの：

これらの設定は、サブ サイトでは無視されます。ただし、トップ レベル サイトで動作しますが、トップ レベル サイトに設定してもサブサイトには継承されず、自由にアクセスできます。これらの設定が無視される原因は何ですか? 私は追加しようとしました：

最上位の web.config に移動し、サブ サイトで上記の承認規則を設定して、すべてのユーザーを拒否しようとしました。サイトにアクセスすると、http://mysite/mybrokensiteのようになります。

Windows 認証を使用しています。

Apache または nginx のいずれかを使用して、きめの細かいパーミッションを設定することは可能ですか? 多数のファイルと多数のユーザーがいる場合、認証された各ユーザーが自分のファイルにのみアクセスできるように指定する良い方法は何ですか?

これらは静的な読み取り専用ファイルです (ほとんどの場合)。アクセス制御のようなファイルシステムを想像してみてください。Web-dav はありません。これは Web アプリの一部です。画像はブラウザでユーザーのページの一部として表示されます。URLを見つけたとしても、他の人が画像を見ることができないようにしたい.

私はこの機能を持っています

ただし、パラメータ:

• 方法
• 送信前
• キャッシュ

私のブラウザFF3、IE8、およびChromeでは無視されます。したがって、そこに何を置いても、ブラウザによって指定された URL に送信されるリクエストは変更されません。たとえば、メソッドを「POST」に設定できない、またはさらに重要なことに、リクエストの一部として Authorization パラメータを配置できないため、HTTP Authorization フォーム処理されます。

もう 1 つの奇妙な動作は、dataType:"json" でない限り、FF3 で LiveHTTPHeaders を使用して示されているように、要求または応答が送受信されないことです。たとえば、dataType:"xml" の場合。

URL はブラウザによって正しく処理されているようです。

これらの問題を抱えている人は、これらの追加のパラメーターが送信されるようにするにはどうすればよいですか?

作成する新しいサービス (WCF、ADO.NET Data Services、おそらくクラウド内) を大量に設計し始めており、ポップアップする 1 つの質問は、どの認証および承認スキームを使用するかということです。少し！

基本的に、HTTP、HTTPS、TCP などのさまざまなプロトコルでユーザー (実際の人、および「仮想」アプリケーション/サービス ユーザー) を識別できるようにする必要があり、少なくとも一連の役割/許可をそれらに割り当てる必要があります。特定のデータを表示したり、特定の操作を実行したりします。

Windows グループ メンバーシップを単独で使用することは絶対にできません。サービスの外部コンシューマーが多数あり、内部ドメインにドメイン アカウントをセットアップする必要はありません。

したがって、主に3つのオプションがあると思います。

1. ASP.NET メンバーシップ システムの使用 - ユーザーを作成し、そこにロールを割り当てる
2. より粒度が高く、より成熟した、より精巧なシステムと思われる AzMan (承認マネージャー) を使用します (ユーザー、タスク、グループ - ユーザー + ロールだけでなく、3 つのレベル)
3. 私たち自身のロール

まず、この3つのうちどれがお勧めですか？なんで？

第二に、私が見逃しているオプションは他にありますか?

ヒント、ポインタ、意見をありがとう！

マルク

PS: これまでの回答を見て、オプション #3 に投票する人の数に驚いています。私は、MS がこれらすべての要件を処理できる再利用可能なものを設計できると考えていたでしょう....

ASP.NETで構築しているWebアプリがあり、次のセキュリティ要件があります。

1. ユーザーがサードパーティのサイトを介してログインしたことを示すために、アプリケーションに一意のキーを返すマスター認証スキームと統合できる必要があります。
2. 既存のuser/rolesテーブルを使用できる必要があります。
3. フォーム認証を使用し、ユーザーがサードパーティのサイトのメンバーでない場合は、別のログインページからログインできるようにすることができます。

SQLロールとメンバーシッププロバイダーをカスタマイズしようとしましたが、特に、uniqueIdentifier（providerKey）を持ち、独自のカスタムキーセット用のスペースがない強い型のMembershipUserオブジェクトがあるという問題が発生しました（ 2）ユーザーを識別します。

カスタムメンバーシッププロバイダーの実装を放棄し、代わりにCookie /セッションを使用する必要がありますか？組み込みの機能を本当に使いたいのですが、うまくいかないようです。

私は現在、リソース指向のRESTfulWebサービスとなる会社の新しいパートナー/パブリックAPIの指定に取り組んでいます。現時点で欠けているパズルのピースは、認証/承認です。

要件は次のとおりです。

1. 最初は、サーバー間環境で機能する必要があります。たとえば、サーバーアプリケーションは、APIを呼び出しているユーザーを認識できるように、サーバーアプリケーション自体を識別できる必要があります。
2. 将来的には、ユーザーアカウントになりすますことを許可したいと考えています。そのため、識別されるサーバーには、限られた期間のユーザーアカウントを表すトークンが含まれるようになります。

OAuthは、（2）トークンを取得し、ユーザーが資格情報を入力して認証するWebサイトにリダイレクトし、そのトークンを使用してアプリケーションとユーザーの両方を識別/認証するワークフローで理想的と思われます。

しかし、私が読んだことから、それが（1）に適しているかどうかはわかりません-つまり、有効なユーザー固有のトークンがなく、したがって必要のない呼び出し元のアプリケーションを識別するためだけにOAuthを使用できる方法はありますか？資格情報を入力するためにWebページにリダイレクトされますか？

ケース1.JOHNXP（http：// localhost / WebClientなど）と呼ばれる自分のPCから小さなテストサイトを参照すると、.aspxページがASMX Webサービスを呼び出し、資格情報を取得して別のマシン上の別のWebサービスに渡します（同じドメイン内のSERVERTRIM）。要求の結果、資格情報を使用してSERVERTRIMマシンにセキュリティログエントリが表示されます。

ケース2.同じドメイン内の別のPCに移動し、個人のデスクトップで使用したのと同じ資格情報でログオンします。上記の同じテストサイト（今回はhttp：// johnxp / WebClient）を参照すると、これが.aspxページに浸透します。

System.Web.Services.Protocols.SoapException：サーバーはリクエストを処理できませんでした。---> System.Net.WebException：リクエストがHTTPステータス401：Unauthorizedで失敗しました

SERVERTRIMのセキュリティログを見ると、ケース2のアクセスにより、401/Unauthorizedを説明しているように見えるANONYMOUSLOGONが発生したことがわかります。

WSが別のサーバー上のベンダーのWebサービスを呼び出すときに、ログインしたDOMAINユーザーの資格情報を使用するようにWebサービスを取得しようとしています。

ASMX Webサービスはデスクトップで実行されます（IIS 5.1 WinXP Pro-マシン名はJOHNXPです）。関係するすべてのサーバーで匿名のUNCHECKEDを有効にし、シナリオに関係するすべてのweb.configでこれを使用しています。

ベンダーのWebサービスはSERVERTRIM（Win 2003 Server）で実行され、ASMXでもあり、WSE3.0を使用します。

WiresharkとNetmonは、今のところ私にとってツールとしては手ごわいように見えます。「リモート」サーバー（SERVERTRIM）で結果として得られるさまざまなLOGONは、十分な「証拠」であると考えています。上記のすべてのマシンは同じドメインにありますが、可能な場合は、「リモート」WebサービスをSERVERTRIMに、中間Webサービスを同じドメインの別のサーバーに保持したいと思います。このシナリオでは、「委任」を掘り下げる必要がありますか？ドメイン内の別のマシンでWeb要求が開始されたときに、同じクレデンシャルがANONYMOUS LOGONになる理由を監視するための最も簡単なツールは何でしょうか？