ADグループベースの承認をasp.netコア2.x Webアプリケーションにグローバルに実装する方法は？

Question

誰かが私に全体的なアイデアを得るために完成したコードを持つ方向または例を指摘できるかどうか疑問に思っていますか？

ありがとう。

pdate： Startup.csに次のコードのみがあり、launchSettings.jsonでwindowsAuticationがtrueであることを確認します。

public void ConfigureServices(IServiceCollection services) { services.AddMvc(); services.AddMvc(config => { var policy = new AuthorizationPolicyBuilder() .RequireAuthenticatedUser() //.RequireRole(@"Departmental - Information Technology - Development") // Works .RequireRole(@"*IT.Center of Excellence.Digital Workplace") // Error .Build(); config.Filters.Add(new AuthorizeFilter(policy)); }); }

認証を有効にし、指定されたADグループ内のユーザーに、グローバルレベルでのアプリケーションへのアクセスを許可しようとしていると思います。

コメント付きのRequireRoleを使用すると機能しますが、コメント化されていないRequireRoleを使用すると、次のエラーが発生します。Win32Exception：プライマリドメインと信頼されたドメイン間の信頼関係に失敗しました。

スタックの一番上の行は、System.Security.Principal.NTAccount.TranslateToSids（IdentityReferenceCollection sourceAccounts、out bool someFailed）を示しています。

なぜか？

上記の更新からの私の理解

RequireRoleで指定されたグループ名は、セキュリティグループではなく電子メール配布リストのようです。他のADグループを使用すると機能しますが、この新しいエラーが発生します。

InvalidOperationException：authenticationSchemeが指定されておらず、DefaultForbidSchemeが見つかりませんでした。

Startup = cs内のConfigureServicesにIIS default authenticationSchemeを追加した場合

services.AddAuthentication(IISDefaults.AuthenticationScheme);

hTTP 403ページが表示されます：ウェブサイトはこのウェブページの表示を拒否しました

これが最終的なコードです：

public void ConfigureServices(IServiceCollection services) { services.AddMvc(); services.AddAuthentication(IISDefaults.AuthenticationScheme); services.AddMvc(config => { var policy = new AuthorizationPolicyBuilder() .RequireAuthenticatedUser() .RequireRole(@"Departmental - Information Technology - Development") // AD security group .Build(); config.Filters.Add(new AuthorizeFilter(policy)); }); }

誤解した場合は訂正してください。ありがとうございました。

David Liang · Answer

オプション1：Windows認証

イントラネットアプリケーションのWindows認証をオンにすることができます。ドキュメントを読む here 。 this のようにして、ユーザーがロール/グループに属しているかどうかを確認できます。

実行する前に、コマンドプロンプトで_gpresult /R_を実行して、コンピューターが参加しているグループ情報を確認できます。詳細は this post を参照してください。

_User.IsInRole("xxxx") // this should return True for any group listed up there _

Windowsに関連する情報を取得する必要がない場合は、現在のプリンシパルをWindowsプリンシパルに変換する必要はありません。

すべてのグループのリストを取得する場合でも、ADにクエリを実行する必要があります。

警告：

オプション2の方法と比較して、コンピューターで_gpresult /R_を使用した結果に一部のグループが表示されないことがあります。そのため、User.IsInRole()を実行するとfalseが返される場合があります。これがなぜ起こるか私はまだ知りません。

オプション2：ADルックアップによるフォーム認証

Windows認証は、ユーザーとADグループに関するほんの少しの情報を提供します。時々それで十分ですが、ほとんどの場合それでは不十分です。

通常のフォーム認証を使用して、その下のADと通信し、Cookieを発行することもできます。この方法では、ユーザーはWindowsの資格情報とパスワードを使用してアプリにログインする必要がありますが、AD情報を完全に制御できます。

手ですべてを書きたくない。幸いにも、役立つライブラリNovell.Directory.Ldap.NETStandardがあります。 NuGetで見つけることができます。

ADから必要なものとログインプロトコルを定義するためのインターフェイス：

_namespace DL.SO.Services.Core { public interface IAppUser { string Username { get; } string DisplayName { get; } string Email { get; } string[] Roles { get; } } public interface IAuthenticationService { IAppUser Login(string username, string password); } } _

AppUserの実装：

_using DL.SO.Services.Core; namespace DL.SO.Services.Security.Ldap.Entities { public class AppUser : IAppUser { public string Username { get; set; } public string DisplayName { get; set; } public string Email { get; set; } public string[] Roles { get; set; } } } _

Appsettings.jsonからの値をマッピングするためのLDAP構成オブジェクト：

_namespace DL.SO.Services.Security.Ldap { public class LdapConfig { public string Url { get; set; } public string BindDn { get; set; } public string Username { get; set; } public string Password { get; set; } public string SearchBase { get; set; } public string SearchFilter { get; set; } } } _

LdapAuthenticationServiceの実装：

_using Microsoft.Extensions.Options; using Novell.Directory.Ldap; using System; using System.Linq; using System.Text.RegularExpressions; using DL.SO.Services.Core; using DL.SO.Services.Security.Ldap.Entities; namespace DL.SO.Services.Security.Ldap { public class LdapAuthenticationService : IAuthenticationService { private const string MemberOfAttribute = "memberOf"; private const string DisplayNameAttribute = "displayName"; private const string SAMAccountNameAttribute = "sAMAccountName"; private const string MailAttribute = "mail"; private readonly LdapConfig _config; private readonly LdapConnection _connection; public LdapAuthenticationService(IOptions<LdapConfig> configAccessor) { _config = configAccessor.Value; _connection = new LdapConnection(); } public IAppUser Login(string username, string password) { _connection.Connect(_config.Url, LdapConnection.DEFAULT_PORT); _connection.Bind(_config.Username, _config.Password); var searchFilter = String.Format(_config.SearchFilter, username); var result = _connection.Search( _config.SearchBase, LdapConnection.SCOPE_SUB, searchFilter, new[] { MemberOfAttribute, DisplayNameAttribute, SAMAccountNameAttribute, MailAttribute }, false ); try { var user = result.next(); if (user != null) { _connection.Bind(user.DN, password); if (_connection.Bound) { var accountNameAttr = user.getAttribute(SAMAccountNameAttribute); if (accountNameAttr == null) { throw new Exception("Your account is missing the account name."); } var displayNameAttr = user.getAttribute(DisplayNameAttribute); if (displayNameAttr == null) { throw new Exception("Your account is missing the display name."); } var emailAttr = user.getAttribute(MailAttribute); if (emailAttr == null) { throw new Exception("Your account is missing an email."); } var memberAttr = user.getAttribute(MemberOfAttribute); if (memberAttr == null) { throw new Exception("Your account is missing roles."); } return new AppUser { DisplayName = displayNameAttr.StringValue, Username = accountNameAttr.StringValue, Email = emailAttr.StringValue, Roles = memberAttr.StringValueArray .Select(x => GetGroup(x)) .Where(x => x != null) .Distinct() .ToArray() }; } } } finally { _connection.Disconnect(); } return null; } private string GetGroup(string value) { Match match = Regex.Match(value, "^CN=([^,]*)"); if (!match.Success) { return null; } return match.Groups[1].Value; } } } _

Appsettings.jsonの構成（例）：

_{ "ldap": { "url": "[YOUR_COMPANY].loc", "bindDn": "CN=Users,DC=[YOUR_COMPANY],DC=loc", "username": "[YOUR_COMPANY_ADMIN]", "password": "xxx", "searchBase": "DC=[YOUR_COMPANY],DC=loc", "searchFilter": "(&(objectClass=user)(objectClass=person)(sAMAccountName={0}))" }, "cookies": { "cookieName": "cookie-name-you-want-for-your-app", "loginPath": "/account/login", "logoutPath": "/account/logout", "accessDeniedPath": "/account/accessDenied", "returnUrlParameter": "returnUrl" } } _

アプリの認証（おそらく承認も）を設定します。

_namespace DL.SO.Web.UI { public class Startup { private readonly IHostingEnvironment _currentEnvironment; public IConfiguration Configuration { get; private set; } public Startup(IConfiguration configuration, IHostingEnvironment env) { _currentEnvironment = env; Configuration = configuration; } public void ConfigureServices(IServiceCollection services) { // Authentication service services.Configure<LdapConfig>(this.Configuration.GetSection("ldap")); services.AddScoped<IAuthenticationService, LdapAuthenticationService>(); // MVC services.AddMvc(config => { // Requiring authenticated users on the site globally var policy = new AuthorizationPolicyBuilder() .RequireAuthenticatedUser() // You can chain more requirements here // .RequireRole(...) OR // .RequireClaim(...) OR // .Requirements.Add(...) .Build(); config.Filters.Add(new AuthorizeFilter(policy)); }); services.AddSingleton<IHttpContextAccessor, HttpContextAccessor>(); // Authentication var cookiesConfig = this.Configuration.GetSection("cookies") .Get<CookiesConfig>(); services.AddAuthentication( CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(options => { options.Cookie.Name = cookiesConfig.CookieName; options.LoginPath = cookiesConfig.LoginPath; options.LogoutPath = cookiesConfig.LogoutPath; options.AccessDeniedPath = cookiesConfig.AccessDeniedPath; options.ReturnUrlParameter = cookiesConfig.ReturnUrlParameter; }); // Setup more authorization policies as an example. // You can use them to protected more strict areas. Otherwise // you don't need them. services.AddAuthorization(options => { options.AddPolicy("AdminOnly", policy => policy.RequireClaim(ClaimTypes.Role, "[ADMIN_ROLE_OF_YOUR_COMPANY]")); // More on Microsoft documentation // https://docs.Microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1 }); } public void Configure(IApplicationBuilder app) { app.UseAuthentication(); app.UseMvc(...); } } } _

認証サービスを使用してユーザーを認証する方法：

_namespace DL.SO.Web.UI.Controllers { public class AccountController : Controller { private readonly IAuthenticationService _authService; public AccountController(IAuthenticationService authService) { _authService = authService; } [AllowAnonymous] [HttpPost] public async Task<IActionResult> Login(LoginViewModel model) { if (ModelState.IsValid) { try { var user = _authService.Login(model.Username, model.Password); // If the user is authenticated, store its claims to cookie if (user != null) { var userClaims = new List<Claim> { new Claim(ClaimTypes.Name, user.Username), new Claim(CustomClaimTypes.DisplayName, user.DisplayName), new Claim(ClaimTypes.Email, user.Email) }; // Roles foreach (var role in user.Roles) { userClaims.Add(new Claim(ClaimTypes.Role, role)); } var principal = new ClaimsPrincipal( new ClaimsIdentity(userClaims, _authService.GetType().Name) ); await HttpContext.SignInAsync( CookieAuthenticationDefaults.AuthenticationScheme, principal, new AuthenticationProperties { IsPersistent = model.RememberMe } ); return Redirect(Url.IsLocalUrl(model.ReturnUrl) ? model.ReturnUrl : "/"); } ModelState.AddModelError("", @"Your username or password is incorrect. Please try again."); } catch (Exception ex) { ModelState.AddModelError("", ex.Message); } } return View(model); } } } _

クレームに保存されている情報の見方：

_public class TopNavbarViewComponent : ViewComponent { private readonly IHttpContextAccessor _httpContextAccessor; public TopNavbarViewComponent(IHttpContextAccessor httpContextAccessor) { _httpContextAccessor = httpContextAccessor; } public async Task<IViewComponentResult> InvokeAsync() { string loggedInUsername = _httpContextAccessor.HttpContext.User.Identity.Name; string loggedInUserDisplayName = _httpContextAccessor.HttpContext.User.GetDisplayName(); ... return View(vm); } } _

ClaimsPrincipalの拡張メソッド：

_namespace DL.SO.Framework.Mvc.Extensions { public static class ClaimsPrincipalExtensions { public static Claim GetClaim(this ClaimsPrincipal user, string claimType) { return user.Claims .SingleOrDefault(c => c.Type == claimType); } public static string GetDisplayName(this ClaimsPrincipal user) { var claim = GetClaim(user, CustomClaimTypes.DisplayName); return claim?.Value; } public static string GetEmail(this ClaimsPrincipal user) { var claim = GetClaim(user, ClaimTypes.Email); return claim?.Value; } } } _

ポリシー許可の使用方法：

_namespace DL.SO.Web.UI.Areas.Admin.Controllers { [Area("admin")] [Authorize(Policy = "AdminOnly")] public abstract class AdminControllerBase : Controller {} } _

ボーナス

MicrosoftのAD Explorer をダウンロードして、会社のADを視覚化できます。

おっと。私は頭からスタートするために何かを与えることを計画していたが、結局非常に長いポストを書いてしまった。