Azure AD 应用程序角色答案

【问题标题】：Azure AD application rolesAzure AD 应用程序角色
【发布时间】：2015-07-17 00:44:59
【问题描述】：

我正在尝试通过 Azure AD 应用程序角色创建受保护的控制器。

这里是 Startup.Auth 的一个豁免，它基本上是由 Visual Studio 模板提供的：

public void ConfigureAuth(IAppBuilder app)
        {
            ApplicationDbContext db = new ApplicationDbContext();

            app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);

            app.UseCookieAuthentication(new CookieAuthenticationOptions());

            app.UseOpenIdConnectAuthentication(
                new OpenIdConnectAuthenticationOptions
                {
                    ClientId = clientId,
                    Authority = Authority,
                    PostLogoutRedirectUri = postLogoutRedirectUri,

                    Notifications = new OpenIdConnectAuthenticationNotifications()
                    {
                        // If there is a code in the OpenID Connect response, redeem it for an access token and refresh token, and store those away.
                       AuthorizationCodeReceived = (context) => 
                       {
                           var code = context.Code;
                           ClientCredential credential = new ClientCredential(clientId, appKey);
                           string signedInUserID = context.AuthenticationTicket.Identity.FindFirst(ClaimTypes.NameIdentifier).Value;
                           AuthenticationContext authContext = new AuthenticationContext(Authority, new ADALTokenCache(signedInUserID));
                           AuthenticationResult result = authContext.AcquireTokenByAuthorizationCode(
                           code, new Uri(HttpContext.Current.Request.Url.GetLeftPart(UriPartial.Path)), credential, graphResourceId);

                           return Task.FromResult(0);
                       }
                    }
                });
        }

尝试过具有以下属性的 ApiController：

[Authorize(Roles = "Administrators")]
// GET: api/Questions
[ResponseType(typeof(Question))]
public IHttpActionResult GetQuestions()
{
    ....
}

和一个 MVC 控制器：

  [Authorize(Roles = "Administrators")]
    public ActionResult Index()
    {
     ....    
    }

在 Azure 应用程序清单中定义了以下内容：

  "appRoles": [
      { 
        "id": "B4531A9A-0DC8-4015-8CE5-CA1DA1D73754",
        "allowedMemberTypes": ["User"], 
        "description": "Administrators",
        "displayName": "Administrators",
        "value": "Administrators",
        "isEnabled": true,
        "origin": "Application"
      }
  ]

现在执行/api/Questions 的GET 请求重定向到https://login.microsoftonline.com 并且用户身份验证似乎成功了，此外localhost 和microsoft online 之间存在无限循环的请求。见下文：

我做错了什么？

使用 [Authorize] 效果很好。

【问题讨论】：

你的无限重定向可能是这样的：coding.abel.nu/2014/11/…

标签： asp.net-mvc asp.net-web-api asp.net-web-api2 azure-active-directory openid-connect

【解决方案1】：

原来应该在 Startup.Auth 中添加以下内容：

TokenValidationParameters = new System.IdentityModel.Tokens.TokenValidationParameters
    {
        ValidateIssuer = true,
        // map the claimsPrincipal's roles to the roles claim
        RoleClaimType = "roles",
    }

它实际上是在配置“角色”声明类型，以便将其映射到默认行为。优秀的解释可以在： https://samlman.wordpress.com/2015/03/09/using-roles-in-azure-applications/

【讨论】：

ValidateIssuer = true 仅适用于多租户设置 - 而且，这并没有修复我的无限重定向

【解决方案2】：

对我来说，上面的解决方案不起作用。相反，我按照https://identityserver.github.io/Documentation/docs/overview/mvcGettingStarted.html 中的描述实现了一个自定义AuthorizeAttribute，以避免无限重定向循环。

这是我的自定义 AuthorizeAttribute 实现代码（同样，主要来自上面的资源）：

public class RoleAuthorizeAttribute : AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        // If the user is authenticated, but we ended up here, it means that
        // the user is not in a role that's allowed to use the controller being called
        if (filterContext.HttpContext.User.Identity.IsAuthenticated)
            filterContext.Result = new HttpStatusCodeResult(HttpStatusCode.Forbidden);
        else
            filterContext.Result = new HttpUnauthorizedResult();
    }
}

PS：我不包括TokenValidationParameters 代码，我可以使用AuthorizeAttribute 指定和不指定Roles。但是，当我指定 Authorize(Roles = "SomeRole") 并且已经过身份验证和授权的用户不在该角色中时，我将面临无限重定向循环。

因此，对于那些我必须使用基于角色的授权的控制器方法，我改用RoleAuthorize(Roles = "SomeRole")。我还有一个自定义 403 错误页面，其样式与应用程序类似，并提供适当数量的详细信息和退出链接，以便用户可以尝试以其他用户身份进行身份验证。

我对该解决方案并不完全满意，因为我觉得内置的AuthorizeAttribute 应该能够处理这种情况。我只是无法让它工作。

【讨论】：

"Instead..." 我认为您的意思是说“除了...”，因为您仍然需要从授权结果中捕获角色。但是您的代码仍然很有用，因为我还有一个无限重定向循环。
不，我的意思是“代替”。我的OpenIdConnectAuthenticationOptions 中实际上没有@Milen 代码。

【解决方案3】：

protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        if (httpContext.Request.Url.IsLoopback)
        {
            return true;
        }

        return base.AuthorizeCore(httpContext);
    }

上面的代码旨在消除本地主机调用。希望它对你有用。

【讨论】：