【发布时间】:2021-07-26 21:03:21
【问题描述】:
案例
目前正在尝试设置两个 AD 提供程序(均使用 OpenID Connect (OIDC) 协议)。
一个需要为后台处理用户,另一个应该在所有其他情况下用于登录具有不同角色的外部用户。网站上的内容仅供特定角色访问。
设置
- EPiServer (CMS)
- .Net 4.7.2 框架
重要提示:
- 两个 open id connect 中间件当前都设置为身份验证模式“活动”。
状态
可以在正确的登录门户显示的地方直接挑战两个 AD 提供程序,但是有一些我无法解释的问题。使用两个 open id connect middelwares 对我来说是第一次。
问题 1
在 CMS 设置中,某些位置/路径在 web.config 中定义,如下所示
<location path="episerver">
<system.web>
<authorization>
<allow roles="WebEditors, WebAdmins, Administrators" />
<deny users="*" />
</authorization>
</system.web>
当“/episerver”路径被点击时,它会触发身份验证流程。如果一个中间件已被标记为在管道阶段“身份验证”中运行,则该中间件似乎总是处理此类请求,但是如果两个中间件都注册为在同一管道阶段“身份验证”中运行,则最后注册的中间件(在 owin 启动文件中)似乎总是处理所有请求。这是为什么呢?
问题 2
当第一个中间件注册为身份验证管道阶段运行,而第二个中间件注册为运行后一个管道阶段(未指定时默认为“PreRequestHandlerExecute”)时,会发生另一种奇怪的行为。
当任何分配了“[Authorize]”属性的控制器被请求击中时,我的猜测是第一个中间件会受到挑战,因为它是 Owin 管道中定义的第一个“活动”中间件,但是它是命中的第二个中间件。我找不到任何关于这种奇怪行为的解释?
【问题讨论】:
-
您是否将 AzureAD 用于后端,将 IdentityServer/Auth0 用于前端?我通常会说多个 OpenID 提供者是一个糟糕的模式,你将如何分配编辑器来编辑非后端部分的内容?我通常会在所有人都可以使用的一个中实现对其他 openid-provider 的信任。例如。设置 IdentityServer 并添加您的 asp.net 身份,将其他 OpenID 提供程序添加到配置中,例如 AzureAD、Facebook、Google 等。
-
我同时使用 AzureAD 和 Azure B2C AD 作为后端。第一个处理由路径“/episerver”触发的身份验证请求,这将使编辑者能够登录到 CMS 后台。另一个(B2C)目前处理所有其他请求用例,例如我的问题 2 中描述的场景。Owin 的大多数文档只是表明可以注册多个中间件,所以我认为我走在正确的道路上。如果我认为我已经在 azure 中看到了这一点,我会尝试你关于信任对方的建议。结果将只有一个中间件对吗?
标签: azure-active-directory owin openid-connect episerver .net-4.7.2