問題タブ [credentials]

サードパーティの資格情報を保存する良い方法を考えています。これは基本的に、コードまたはデータのどこかに秘密が必要であることを意味します。私はGoogle App Engineにデプロイしています。

「秘密」が次のようなものだった場合

このコードが appengine 以外の管理者に見られないように頼ることはできますか?

...資格情報が個人の財務データのような超機密情報を保護している場合、私たちはそれを信頼できますか?

(sha2 ビットは、他の秘密の疑似乱数関数と交換可能です。)

私のシナリオはこれです-私は2つのASP.netWebサイトを持っています。両方のサイトは同じマシンで実行され、デフォルトのasp.netメンバーシッププロバイダー（フォームベースの認証）を使用して比較的簡単にシングルサインオンを実装しました。

一方のサイトに新しいWCFサービスがあり、もう一方のサイトから呼び出されます。ユーザーはサイトにログインしますが、サービスへの呼び出しは、ポストバックに続いてコードビハインドから行われます。

ログインしたユーザーのフォームベースのクレデンシャルを他のサイトのWCFサービスに渡すことができるように、誰かが私を正しい方向に向けることができますか？現在、NETWORKSERVICEWindowsのクレデンシャルを渡しています。

100 万人のユーザーを持つ Web アプリを作成していると想像してください (ユーザーはすべて大きくなりますよね!)。

ユーザー アカウントをどのように処理しますか? いくつかのシナリオを想像できます：

1. 独自のロール (データベース テーブル、ソルト化/ハッシュ化されたパスワードをユーザー プロファイル テーブルに保存)
2. ASP.NET で記述されている場合は、ログイン/ロール プロバイダーを使用します (データベースにフォールバックします)。
3. Windows 環境の場合は Active Directory を使用する
4. 他の LDAP サーバーを使用する
5. OpenID や .NET Passport などのサードパーティ プロバイダー

もちろん、安定性とスケーラビリティは重要です。

これは、Active Directory やその他の LDAP サーバーがうまく簡単に拡張できるかどうかという問題だと思います。Facebook、Twitter、Gmail はバックエンド アカウント プロバイダーとして何を使用していますか?

これについて考えさせられたのは、Google App Engine です。本当にかっこいい。ただし、組み込みの認証機能を使用した場合、ユーザーは Google アカウントを取得する必要があります。または、上記の #5 では、ユーザーは OpenID を取得する必要があります。私は、彼らが他のサイトにアクセスする必要なく、私のサイトに簡単にサインアップできるようにしようとしています - 世界の非オタクのために:)

VB.NET 2.0 を使用しています。

Web サービスを呼び出そうとしています。この Web サービスには認証が必要です。したがって、資格情報のみを使用する場合に Web サービスを実行できます。しかし、ローカル プロキシを追加すると (ezProxy Manager で試しました)、401 エラーが発生します。

これをプロキシでも機能させる必要があります。これが失敗する理由はありますか？

私の c# アプリケーションは、さまざまな Web URL/ドメインの Internet Explorer を開きます。そして、これらすべての資格情報 (ユーザー名、パスワード、およびドメイン名) を各 Web アプリケーションのデータベースに保存しています。コードを使用して「ネットワーク資格情報」ダイアログボックスに資格情報を入力せずに自動的に認証する方法、またはそのダイアログボックスをバイパスする方法を教えてください。つまり、これらの資格情報をシステムに保存する必要があるため、入力する必要はありません。私はc＃を使用しています

CredUIConfirmCredentialsをCredUIPromptForCredentialsと組み合わせ て使用​​しています。

を設定し、ユーザーが最初EXPECT_CONFIRMATIONにクレデンシャルを提供したときに、を呼び出すと期待どおりにNO_ERRORが返されます。CredUIConfirmCredentials

ただし、CredUIConfirmCredentials同じクレデンシャルを使用した以降のすべての呼び出しで、ERROR_INVALID_PARAMETERが返されます。これは、SDKドキュメントで次のように説明されています。

クレデンシャルに無効または一貫性のないデータが含まれているため、待機中のクレデンシャルを確認しようとして失敗しました。

これは、元々正常に保存されたのとまったく同じクレデンシャルであるため、かなり混乱します。

同じユーザー名に別のパスワードを入力した場合も、同じ結果が返されます。さらに紛らわしいのは、新しいクレデンシャルが実際に永続化されていることです。これは、エラーが発生したことではなく、永続化されたクレデンシャルが実際に上書きされたことを戻り値が示していることを示しているようです。何かが足りないのですか、それともドキュメントが間違っていますか？

バックグラウンド

Windowのクレデンシャルシステムを使用して、独自のアプリケーションのクレデンシャルを保存できます。いくつかの「ターゲット」の「一般的な」クレデンシャルの入力を求めるプロンプトをWindowsに指示します。

擬似コード：

次に、Windowsにダイアログボックスが表示されます。

次に、ユーザーが入力した資格情報を確認するのはあなたの仕事です。それらが有効な場合は、ConfirmCredentialsを呼び出してWindowsにこれを通知します。これは、有効な資格情報のみが保存されるようにするためです。

クレデンシャルが有効であることが確認されると、Windowsはそれらをセキュアストアに保存します。これは、コントロールパネルで確認できます。

キーワード：credui、CredUIConfirmCredentials

システムでモデルを作成した別のデータベースにクエリを実行するカスタム バックエンドをセットアップしようとしています。独自のルール (ユーザー名の代わりに電子メール、別の方法でソルト化/ハッシュ化されたパスワード) を使用するため、組み込みの認証を使用できません。次のようにカスタム認証バックエンドを設定しました。

BlahBlahBackend を認証バックエンドとして追加しました。

AUTHENTICATION_BACKENDS = ('django.contrib.auth.backends.ModelBackend', 'socialauth.auth_backends.OpenIdBackend', 'socialauth.auth_backends.TwitterBackend', 'socialauth.auth_backends.FacebookBackend', 'socialauth.auth_backends.BlahBlahBackend', )

ご覧のとおり、socialauth にもある既存の認証バックエンドもいくつか使用しています。

次のビューを指す送信フォームがあります。

ただし、この方法でログインしようとすると、他のバックエンドの 1 つ以上が、その方法を使用してログインしようとしているかのように動作しているように見えます。

バックエンドがキャッシュされていることを読んだので、実行しました

バックエンドのキャッシュをクリアします。

私の主な質問は次のとおりです。

1. AUTHENTICATION_BACKENDS にリストされているアイテムの順序
2. システムはどのバックエンドを使用するかをどのように決定/認識しますか? これはどのドキュメントでも明確にされておらず、少し混乱しています。
3. リクエストに基づいて特定の承認の使用を強制する方法はありますか? つまり、誰かがフォームを送信した場合、openid または Twitter 経由のログインではなく、フォーム ログイン ベースの認証を強制的に使用する方法はありますか?

アップデート：

できます！これはとてもクールです、ありがとう。django のドキュメントが「他に何もする必要はありません。魔法のように機能するだけです」と言っていたように思えたのですが、これは絶対に当てはまることがわかりました。バックエンドが存在し、資格情報が正しく設定されている限り、認証は機能します。実際の問題は、urls.py ファイルの構成ミスで、ログイン フォームから正しいハンドラーに投稿が送信されなかったことが判明したため、別の認証方法を使用しようとし続けました。

IIS は、現在ログインしているユーザーの資格情報を利用して、ASP.NET アプリケーションにアクセスしています。アプリケーションでログイン ページを作成し、別のユーザーの資格情報を渡して、特定の Web アプリを別のユーザーで実行することはできますか?

最初に: これは (願わくば) thisまたはthisの複製ではありません。

現在の状況:内部データベースの資格情報を含むファイルを Git リポジトリにコミットしました。一人で使っていたので良かったです。その後、私のグループはこのプロジェクトでクローン、プッシュ、プルを開始しました。現在、いくつかの Git リポジトリがあります (1 つの中央リポジトリと一部の開発者)。

問題:ソース コードと Git リポジトリへのパブリック アクセスを許可するか、少なくとも、コードに貢献している他のユーザーの詳細を Git に管理させたいと考えています。

質問:どのような戦略がよいでしょうか?

a) 中央リポジトリまたはすべてのリポジトリから認証情報を含むファイルを削除する、または

b) 新しい Git リポジトリを、外界への一種の「インターフェース」としてセットアップしますか?

(b) を選択した場合、変更をメイン リポジトリに簡単に伝えるにはどうすればよいでしょうか?

すでに広く配布されているため、現在のすべてのリポジトリでagit rebaseまたは aを実行したくありません。git filter-branch

ASP.Net 3.0 プロジェクトに Web 参照を追加しようとしています。これは、SQL Server Reporting Services Web サービスへの参照です。サービスが稼働中であることを確認しましたが、プロジェクトに Web 参照を追加しようとすると、資格情報を入力するよう求められ、その後何度も何度も求められます。悪循環を止めるには、キャンセルを押す必要があります。これを行うと、サービス定義がウィンドウに表示されますが、[参照の追加] ボタンが無効になっているため、プロジェクトへの参照を追加できません。

SQL Reporting Services の構成に関する知識は限られています。誰かがこの問題を解決する方法を知っていれば、本当に感謝しています。