問題タブ [thinktecture]

asp.net Web フォーム Web サイトと WebAPI のトークン ベースのセキュリティの実装に取り​​組んでいます。

Web サイトは、クレーム ベースの ID を持つセッション トークンで動作する必要があります。Web サイトは Web API に対して ajax リクエストを行う必要があります。

これは私がこれまでに実装したものです：

1. thinktecture v2 STS を oauth2 リソース オーナー アクセス トークンのトークン プロバイダーとして使用する

2. ウェブサイトがトークンを要求する

   /li>

質問: Web サイトでセッション トークンを使用し、受け取った上記のトークンからクレームを抽出する方法を教えてください。

Identity サーバー v3 の CustomUserService サンプルを使用しています。以下のようにホームコントローラーを追加しました - `public class HomeController : Controller { // // GET: /Home/ public ActionResult Index() { return View(); }

また、About.cshtml と Index.cshtml の 2 つのビューを追加しました。ご覧のとおり、About アクションには Authorize 属性があります。そのため、[About] に移動すると、Identity Server V3 のログイン ページにリダイレクトされるはずですが、そうはなりません。私の完全なstartup.csは次のとおりです-

WSfederation を使用したいので、CustomerUserService サンプルを使用しています。そのため、ADFS は ID サーバーにクレームを提供し、次に ID サーバーはそれらのクレームを About ビューに返す必要があります。誰でもここで私を助けることができますか？

Thinktecture IdentityServer の上に wsfederation プラグインを使用して wsfed 認証を実装しています。以下のように、AuthenticateLocalAsync メソッドで独自の UserService を実装しました。

このメソッドは、ログイン イベントがトリガーされたときに呼び出されます。ご覧のとおり、自分のデータベース リポジトリに対してユーザーを認証し、その結果から、オブジェクトで参照されAuthenticateResultて返されるクレーム オブジェクトを構築しました。

したがって、クレームはクライアントで利用できるようになったはずなので、それ以上要求する必要はないと思いましたが、実際には、GetProfileDataAsyncメソッドが呼び出される 2 番目の要求をそれ自体に作成し、ドキュメントに基づいています。

このメソッドは、ユーザーに関するクレームが要求されるたびに呼び出されます (たとえば、トークンの作成中または userinfo エンドポイント経由)。

どのような意味がありますが、データベースを再度呼び出して顧客データを再度取得し、AuthenticateLocalAsyncメソッドで行ったのと同じようにクレームを再構築する必要があるということですか?

もしそうなら、最初の認証メソッドでクレームを返すポイントは何ですか?

誰か説明してくれませんか？

ありがとう

明

ASP.net MVC アプリケーションで Thinktectures Embedded STS をローカルで使用しているときに遭遇した奇妙な動作を解決するための助けが必要です。ADFS を使用するサーバーでは、この問題は発生しません。

問題は 、アプリケーションにサインインした後、それ以降の HTTP 呼び出しのほとんどが 2 回呼び出されることです。最初の HTTP 要求は FedAuth Cookie なしで行われ、サーバーはステータス コード 302 (リダイレクト) で応答し、同じ URL に対して別の要求が行われますが、今回は Fedauth Cookie が使用されます。ブラウザが FedAuth Cookie なしで最初のリクエストを送信する原因と、サーバーが同じ URL にリダイレクトする理由を理解しようとしています。

また、EmbeddedSTS URL がどのように解決されるかを理解するのにも助けが必要です。Github でコードを確認しましたが、EmbeddedSTS の URL がどのように解決されるかがよくわかりません。

どんな助けでも大歓迎です。

Brock Allenは先週、 IdentityManagerの新しいベータ版をリリースしました。セキュリティ モデルにかなりの変更があるため、構成も変更されました。

彼は、新しいバージョンを適切に構成する方法についてのビデオ ( ASP.NET IDとセキュリティのセットアップ および IdentityManager ) も撮影しました。これらは、従来の ASP.NET MVC アプリケーションと ADFS セットアップでの使用法をよく説明していますが、 Identity Server v3と並行して動作させる方法に関するヘルプやサンプル コードは見つかりませんでした。

IdSrv3 を使用して IdMgr のリモート アクセスを構成した経験を共有していただけますか?

実装のガイダンスが必要です。サーバー側に ASP.NET Web API を備えた AngularJS クライアントがあります。いくつか質問があります: 1. IdentityServer から id_token と access_token を取得できる Implicit フローを実装しました。リフレッシュ トークンを許可するハイブリッド フローを実装できるかどうかを知りたいですか? 2) JavaScript クライアントでセッション管理を処理する正しい方法は何ですか?

OpenID Connect プロトコルを介して IdentityServer3 認証を使用するようにクライアント アプリを構成しました (これは、OWIN ミドルウェアを使用して OIDC をサポートする ASP.NET MVC アプリです)。

IdentityServer3 自体は、ローカル ログインと外部ログイン (Azure AD など) の両方を使用するように構成されています。

通常のフローでは、アプリがユーザーを認証する必要があると、ユーザーは IdentityServer3 ログイン画面にリダイレクトされますが、問題ありません。しかし、場合によっては、リクエストごとに、ユーザーが特定の外部 ID プロバイダーですぐにログインしたいことを IdentityServer3 に知らせることで、ログイン画面をバイパスしたいと考えています。

それは可能ですか？

ロード バランサーの背後に 2 要素認証を備えたカスタム UserService を備えた Identityserver v3 があります。それは私のマシンで動作します:-)しかし、負荷分散された環境に展開すると、partialSigninAuthenticationが失敗します(負荷分散に関連しているかどうかはわかりませんが、同じサーバーでv2も実行しています-問題はありません)。

サンプル impl の証明書を使用しており、RequireSSL=false (ロードバランサーの背後にある http) を使用しています。

私の TwoFactorController では、デバッグを出力します。

トレースログ:

更新 部分ログインを削除しましたが、まだ機能していません。これは IdServer からの最後のログ エントリです

ブラウザのコンテンツは空ですが、タイトルには「このフォームを送信してください」と書かれていますブラウザのURLは次のとおりです。

Update2 送信フォームを確認すると、コンテンツセキュリティポリシーによってスクリプトがブロックされているようです

ページhttps://smi-test.myserver.net/STSv3/connect/authorizeがスクリプトをロードします

それをhttpsに変更するにはどうすればよいですか？

ラルシ