Dotnet Core 2.2 - Azure AD 身份验证工作但角色库返回访问被拒绝

Question

我正在尝试让角色在 .Net Core 2.2 中工作，但其他解决方案均无效。

在Startup.cs 中，Microsoft 在新的 .Net 2.2 中生成此代码，由于某种原因该代码无法正常工作，但让该代码块工作并不是主题，尽管很高兴知道它为什么不工作.说“没有指定 authenticationScheme，也没有找到 DefaultChallengeScheme。”但它是 Microsoft 生成的。

services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
                .AddAzureAd(options => Configuration.Bind("AzureAd", options));

在我真实的Startup.cs 中，我不得不使用下面的内容

services.AddAuthentication(sharedOptions =>
            {
                sharedOptions.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                sharedOptions.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
            })
            .AddAzureAd(options => Configuration.Bind("AzureAd", options))
            .AddCookie();

所以以上是我让 Azure AD 使用 [Authorize] 属性的唯一方法。问题是当我尝试使用角色授权时。我已经尝试了很多建议，但都没有成功。每当我有 [Authorize(Roles="")] 时，我都会被重定向到 Microsoft 为 Azure AD 生成的 AccountController 中的 AccessDenied() 方法，基本上是拒绝访问。我正在使用我在 AD 中创建的角色，也在 Azure AD 中创建了一个组，还使用了一个名为“域用户”的角色，它基本上授予公司中的每个员工，是每个员工拥有的最基本的授权.如果“域用户”被“拒绝访问”，那么我不知道我在这里不理解什么。

我已关注 Microsoft 文档的角色，但没有任何内容表明我需要在 services.AddAuthentication() 选项中添加更多内容。

Answer 1

这对我有用，.Net Core 2.2 Web App using Roles。

编辑应用程序清单以包含角色，例如

"appRoles": [
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Admins have the power.",
            "displayName": "Admin",
            "id": "282fc418-cf3a-4a3a-89f8-6500c64695ff",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "Admin"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Writers have the ability to edit app data.",
            "displayName": "Writer",
            "id": "3aa1a322-2918-4005-8cc3-51cba010ccc0",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "Writer"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Readers have the ability to read app data.",
            "displayName": "Reader",
            "id": "239f93af-4cc0-4d0e-ad04-bda1f8ac2a91",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "value": "Reader"
        }
    ]

Startup.cs

services.AddAuthentication(sharedOptions =>
    {
        sharedOptions.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        sharedOptions.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
    })
    .AddAzureAd(options => Configuration.Bind("AzureAd", options))
    .AddCookie();

services.AddHttpContextAccessor();

在“顶级代码块”中添加扩展以解决您提到的问题。

AzureAdAuthenticationBuilderExtensions.cs

public static class AzureAdAuthenticationBuilderExtensions
{
    public static AuthenticationBuilder AddAzureAd(this AuthenticationBuilder builder)
        => builder.AddAzureAd(_ => { });

    public static AuthenticationBuilder AddAzureAd(this AuthenticationBuilder builder, Action<AzureAdOptions> configureOptions)
    {
        builder.Services.Configure(configureOptions);
        builder.Services.AddSingleton<IConfigureOptions<OpenIdConnectOptions>, ConfigureAzureOptions>();
        builder.AddOpenIdConnect();
        return builder;
    }

    private class ConfigureAzureOptions : IConfigureNamedOptions<OpenIdConnectOptions>
    {
        private readonly AzureAdOptions _azureOptions;

        public ConfigureAzureOptions(IOptions<AzureAdOptions> azureOptions)
        {
            _azureOptions = azureOptions.Value;
        }

        public void Configure(string name, OpenIdConnectOptions options)
        {
            options.ResponseType = "token id_token";
            options.Resource = _azureOptions.TargetApiAppId;
            options.SaveTokens = true;
            options.ClientId = _azureOptions.ClientId;
            options.Authority = $"{_azureOptions.Instance}{_azureOptions.TenantId}";
            options.UseTokenLifetime = true;
            options.CallbackPath = _azureOptions.CallbackPath;
            options.RequireHttpsMetadata = false;
        }

        public void Configure(OpenIdConnectOptions options)
        {
            Configure(Options.DefaultName, options);
        }
    }
}

AzureADOptions.cs

public class AzureAdOptions
{
    public string ClientId { get; set; }
    public string ClientSecret { get; set; }
    public string Instance { get; set; }
    public string Domain { get; set; }
    public string TenantId { get; set; }
    public string CallbackPath { get; set; }

    //manually added
    public string TargetApiAppId { get; set; }
}

在企业应用刀片中为用户分配角色：

装饰你的控制器：

[Authorize(Roles = "Writer")]

AccountController.cs

public class AccountController : Controller
{
    [HttpGet]
    public IActionResult SignIn()
    {
        var redirectUrl = Url.Action(nameof(HomeController.Index), "Home");
        return Challenge(
            new AuthenticationProperties { RedirectUri = redirectUrl },
            OpenIdConnectDefaults.AuthenticationScheme);
    }

    [HttpGet]
    public IActionResult SignOut()
    {
        var callbackUrl = Url.Action(nameof(SignedOut), "Account", values: null, protocol: Request.Scheme);
        return SignOut(
            new AuthenticationProperties { RedirectUri = callbackUrl },
            CookieAuthenticationDefaults.AuthenticationScheme,
            OpenIdConnectDefaults.AuthenticationScheme);
    }

    [HttpGet]
    public IActionResult SignedOut()
    {
        if (User.Identity.IsAuthenticated)
        {
            // Redirect to home page if the user is authenticated.
            return RedirectToAction(nameof(HomeController.Index), "Home");
        }

        return View();
    }

    [HttpGet]
    public IActionResult AccessDenied()
    {
        return View();
    }
}

Answer 2

您需要在 AzureAD 中配置应用程序清单以接收 AD 角色。

将清单中的“groupMembershipClaims”值更改为“All”。

请注意，如果您有大量组，您最终可能会使响应过大，因此所有人都可能希望将其缩减为您真正想要流动的那些组。

Answer 3

请先确认你得到了token中的groups，将manifest中的“groupMembershipClaims”值改为“All”后，你可以在controller中放入如下代码：

 var claims = User.Claims;

用户在应用程序中通过身份验证后，您应该获得groups 声明：

然后您可以将属性与命名策略一起使用，然后在启动时定义策略以要求组声明并设置允许的组 ID：

services.AddAuthorization(options =>
{
    options.AddPolicy(
        "CanAccessGroup",
        policyBuilder => policyBuilder.RequireClaim("groups", "0c71eab2-6618-4c53-bcce-806xxxxxx"));
});

在控制器中：

[Authorize(Policy = "CanAccessGroup")]
public IActionResult About()
{
    return View();
}

如果组 ID 不在用户组声明中，则访问将被拒绝。

说“没有指定 authenticationScheme，也没有找到 DefaultChallengeScheme。”但它是 Microsoft 生成的。

如果在VS2017中使用默认的Work or School Accounts模板，安装的Microsoft.AspNetCore.Authentication.AzureAD.UI包版本将是v2.2.0，生成的代码是：

services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
    .AddAzureAD(options => Configuration.Bind("AzureAd", options));