Объединение ADAL.Net и ADAL.js

У меня есть устаревшее приложение, написанное с использованием веб-форм. В этом проекте мы начали конвертировать некоторые веб-формы в SPA, angular.js и WebAPI. Страницы SPA взаимодействуют напрямую с WebAPI. Идея состоит в том, что в конечном итоге все веб-формы будут переведены на новую технологию.

Для страниц SPA я применил adal.js, а для веб-форм использую ADAL.net. Оба явно используют Azure Active Directory. Однако похоже, что они не используют один и тот же токен носителя, потому что единый вход не работает. Для перехода со страницы веб-формы на страницу SPA требуется еще один вход в систему.

Как заставить единый вход работать правильно в проекте?

Мой код ниже:

public void ConfigureAuth( IAppBuilder app )
{
   JwtSecurityTokenHandler.InboundClaimTypeMap = new Dictionary<string, string>( );

    app.SetDefaultSignInAsAuthenticationType( CookieAuthenticationDefaults.AuthenticationType );
        app.UseCookieAuthentication( new CookieAuthenticationOptions( ) );

app.UseOpenIdConnectAuthentication(
        new OpenIdConnectAuthenticationOptions
        {
            ClientId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX",                      
            Authority = "https://login.microsoftonline.com/XXXXX.onmicrosoft.com",
            PostLogoutRedirectUri = "https://XXXX:4432/gbl/Home.aspx",
            Notifications = new OpenIdConnectAuthenticationNotifications
            {
                AuthenticationFailed = context =>
                {
                    context.HandleResponse( );
                    context.Response.Redirect( "/Error?message=" + context.Exception.Message );
                    return Task.FromResult( 0 );
                },
                SecurityTokenValidated = async n =>
                {
                    var uniqueName = n.AuthenticationTicket.Identity.FindFirst( "unique_name" ).Value;
                    var userName = getUserNameFromUniqueName( uniqueName );

                    var claims = getRoleClaims( n.AuthenticationTicket.Identity ).ToList2( );
                    claims.Add( new Claim( "unique_name", uniqueName ) );
                    claims.Add( new Claim( ClaimTypes.Name, userName ) );
                    claims.Add( new Claim( ClaimTypes.UserData, "" ) );

                    var profileClaims = new ClaimsTransformer( ).GetTake2ProfileClaims( userName );
                    claims.AddRange( profileClaims );

                    var newIdentity = new ClaimsIdentity( n.AuthenticationTicket.Identity.AuthenticationType, "given_name", "roles" );
                    newIdentity.AddClaims( claims );

                    n.AuthenticationTicket = new AuthenticationTicket( newIdentity, n.AuthenticationTicket.Properties );
                },
            }
        } );
}

azure azure-active-directory oauth adal adal.js
person Chris    schedule 31.08.2015    source источник
comment
Можете ли вы объяснить, как вы используете ADAL.net для входа в Интернет? ADAL.net не предназначен для этого, он предназначен для вызова веб-API...   -  person vibronet    schedule 01.09.2015
comment
Вибронет, приношу свои извинения. Я перепутал OWIN и ADAL. Я добавил код выше, чтобы вы могли видеть, что я делаю. Все страницы веб-форм защищены, не допуская анонимных пользователей, кроме Home.aspx. На Home.aspx.cs в пререндере я выдаю вызов Owin, если пользователь не прошел проверку подлинности. Мне нужно будет заставить веб-формы и Adal.js работать вместе. Есть ли способ сделать это?   -  person Chris    schedule 02.09.2015
comment
Без вопросов. Я думаю, мы готовы попробовать ответить сейчас   -  person vibronet    schedule 02.09.2015

Ответы (1)


arrow_upward
2
arrow_downward

ADAL JS и ПО промежуточного слоя OpenId Connect на самом деле не предназначены для совместной работы — тот факт, что ваше приложение реализовано в веб-формах или MVC, на самом деле не имеет значения, проблема в том, что ADAL JS ожидает взаимодействия с серверной частью, вызывающей веб-API. защищен с помощью токенов-носителей OAuth2, в то время как OpenId Connect рассчитывает защитить полные обратные передачи с помощью файлов cookie. Справочную информацию о двух разных подходах см. в разделе http://www.cloudidentity.com/blog/2014/04/22/authentication-protocols-web-ux-and-web-api/. Я думаю, вам придется решить, хотите ли вы перейти на инфраструктуру SPA, и в этом случае вы можете использовать ADAL JS и промежуточное ПО OAuth2, но веб-формы будут немного неудобными (но все же возможными), или если вы хотите придерживаться дизайн на основе обратной передачи и использование OpenId Connect.

person vibronet    schedule 01.09.2015