問題タブ [identityserver3]

IdentityServer3 を ASP.NET Identity と共に OAuth サーバーとして使用すると、トークン応答でロールとクレームを返すことができます。IdentityUser をオーバーライドして LastName を追加したい場合、トークン応答でそれを返すにはどうすればよいですか? または、LastName を IdentityUser オブジェクト/AspNetUsers テーブルではなく、AspNetUserClaims テーブルに追加する必要がありますか?

IdentityServer v3 を使用して、ユーザーにクライアントへのアクセスを許可し、別のアクセスに制限する方法はありますか? これを処理するためにデータベースに独自のテーブルを作成できることはわかっていますが、IdentityServer3 でこのようなものが既に作成されているかどうか疑問に思っていました。

ID およびアクセス管理ソリューションを実装するために、Thinktecture Identity Server v3 と Wso2 ID サーバーのどちらかを選択しようとしています。

特に、次の機能の使用に興味があります。

• シングルサインオン (SSO)
• ユーザー ID の管理
• Active Directory、OpenLdap、Oracle Internet Directory などの中央リポジトリへの接続。
• アクティブおよびパッシブ フェデレーション
• ADFS との統合

私たちは .Net ベースのショップなので、Thinktecture の IS に傾倒していますが、Java という理由だけで WSO2 を除外したくはありません (もう 1 つの依存関係があります)。

2つの間に他の長所/短所はありますか?

ありがとう

Id でサーバー セッションを使用できますか。サービス 全部で3？

Thinktecture IDとして。サービス 3 は認証セッションに Cookie 認証ミドルウェアを使用します。ここで説明するように、IAuthenticationSessionStore を実装し、app.UseCookieAuthentication() の実装を使用してこれを試しました。

http://www.cloudidentity.com/blog/2014/05/11/owin-protocol-middleware-cookies-and-reference-mode-sessions-we-need-your-feedback/

そしてここ ：

https://gist.github.com/vibronet/90d4646c273930ff12d4

以下のように app.UseIdentityServer() の前に起動時にこれを実行しました:

app.UseCookieAuthentication( new CookieAuthenticationOptions { SessionStore = ... (IAuthenticationSessionStore 実装のインスタンス)

app.UseIdentityServer(オプション);

options は IdentityServerOptions オブジェクトです。

ただし、アプリからログインできます。(このサーバーを使用して) IAuthenticationSessionStore の実装されたメソッドは呼び出されません。

では、ID を使用してサーバー セッションを実装することは可能ですか。サービス 3 上記のインターフェイスを使用して (いくつかの変更を加えて?)、またはこれを行う他の方法はありますか。それともまったくできないのでしょうか？

更新 - 私たちが達成しようとしていることについて:

複数のアプリがあります。Open ID 認証にアイデンティティ サーバー 3 実装を使用します。

目標:

1. アプリ間の一貫性のあるセッションのスライド有効期限。そのため、ユーザーがいずれかのアプリのページにアクセスするたびに、すべてのアプリでセッションを更新する必要があります。現在、これに関してアプリ間で矛盾があります。スライド有効期限は、そのアプリのユーザーのセッションのみを更新するためです。

2. ブラウザの Cookie のサイズを小さくします。追加される各アプリから複数のカスタム クレームがあり、各リクエストのペイロードが重くなります。

3. アプリ間のセッション制御。ユーザーをすべてのアプリから除外できるようにしたいと考えています。（おそらくすべてのデバイスで）

どんな助けでも本当に感謝しています。

データベースからすべてのユーザー、ロール、クレーム、クライアントなどを実行して、IdentityServer 3を稼働させています。これを管理するために、IdentityManager を使用することにしました。ただし、これはユーザーとロールのみを対象としていることに気付きました。これを拡張してクライアントもカバーする方法はありますか?

管理者が通常の管理タスクのために、ユーザー名とパスワードの組み合わせでログインできるようにするサイトを作成しています。しかし、彼が「危険な」タスクを実行する必要がある場合は、2FA を使用して (1 回だけ) ログインさせ、現在のセッションのアクセス許可を昇格させたいと考えています。

誰かがこれを行う方法を知っていますか、または少なくとも正しい方向に向けてください。

どうも

統合された Windows 認証 (SPNEGO などを使用) を介してユーザーの認証を試みるカスタム ログイン画面を作成し、その試みが失敗した場合は、フォーム ベースのアプローチにフォールバックしたいと考えています。

プロセスは理想的にはこのように機能します...

有効な AD ユーザーとしてログインしたユーザー

1. ユーザーがアプリケーションにアクセスしようとすると、IdentityServerにリダイレクトされます。
2. カスタム ロジックは、AD 資格情報を使用してユーザーの検証を試み、成功します。
3. ユーザーは認証され、リダイレクトされます...

ユーザーが有効な AD ユーザーとしてログインしていません

1. ユーザーがアプリケーションにアクセスしようとすると、IdentityServerにリダイレクトされます。
2. カスタム ロジックは、AD 資格情報を使用してユーザーの検証を試み、失敗します。
3. ユーザー名とパスワードを入力するフォームが表示されます。
4. ユーザーは認証され、リダイレクトされます...

これを実現するためにカスタムIUserService実装を作成したいと思っていましたが、ドキュメントを読んでも、これがどのように行われるかは明らかではありません。

これを実現するには、カスタム ID プロバイダーを作成する必要がありますか?

ガイダンスをいただければ幸いです。

IdentityServer3 に対して問題なく認証している ASP.NET MVC アプリケーションがありますが、ユーザーが約 3 分後に AJAX 機能を続行する前に待機すると、ApiController の開始を使用するアプリケーションの Web API 部分が失敗します (3 分前はすべて正常に見えます)。 .

Chrome で表示されるエラーは次のとおりです。

XMLHttpRequest は https://test-auth.myauthapp.com/auth/connect/authorize?client_id=ecan-farmda …gwLTk5ZjMtN2QxZjUyMjgxNGE4MDg2NjFhZTAtOTEzNi00MDE3LTkzNGQtNTc5ODAzZTE1Mzgw を読み込めません。要求されたリソースに「Access-Control-Allow-Origin」ヘッダーがありません。したがって、オリジン ' http://test.myapp.com ' へのアクセスは許可されていません。

IE では、次のエラーが発生します。

SCRIPT7002: XMLHttpRequest: ネットワーク エラー 0x4c7、操作はユーザーによってキャンセルされました。

IdentityServer3 のログを見ると、次のようなエントリが表示されます。

2015-08-10 16:42 [警告] (Thinktecture.IdentityServer.Core.Configuration.Hosting.CorsPolicyProvider) CORS リクエストがパス: /connect/authorize from origin: http://test.myapp.comに対して作成されましたが、無効なため拒否されましたCORS パス

IdentityServer3 Web アプリケーションでは、クライアントに AllowedCorsOrigins を与えています。

サービスを登録するときに、InMemoryCorsPolicyService を追加します。

IdentityServer3 のログ エントリには、「パスに対して行われた CORS リクエスト: / auth /connect/authorize」ではなく、「パスに対して行われた CORS リクエスト: /connect/authorize」と表示されていることに注意してください。しかし、IdentityServer3 のソース コードを調べると、これはおそらく問題ではないことがわかります。

おそらく、InMemoryCorsPolicyService が取得されていないのでしょうか?

ApiController と呼ばれる AJAX で機能しない理由について何か考えはありますか?

Thinktecture.IdevtityServer3 v1.6.2 は NuGet を使用してインストールされています。

アップデート

IdentityServer3 の開発者と話し合っていますが、まだ問題が解決されていません。それが役立つ場合：

https://github.com/IdentityServer/IdentityServer3/issues/1697