اعتبارسنجی مبتنی بر ویندوز، بر اساس قابلیتهای توکار ویندوز و اختیارات اعطا شدهی به کاربر وارد شدهی به آن، کار میکند. عموما محل استفادهی از آن، در اینترانت داخلی شرکتها است که بر اساس وارد شدن افراد به دومین و اکتیودایرکتوری آن، مجوز استفادهی از گروههای کاربری خاص و یا سطوح دسترسی خاصی را پیدا میکنند. میانافزار اعتبارسنجی ASP.NET Core، علاوه بر پشتیبانی از روشهای اعتبارسنجی مبتنی بر
کوکیها و یا
توکنها، قابلیت استفادهی از اطلاعات کاربر وارد شدهی به ویندوز را نیز جهت اعتبارسنجی او به همراه دارد.
فعالسازی Windows Authentication در IIS
پس از publish برنامه و رعایت مواردی که در مطلب «
ارتقاء به ASP.NET Core 1.0 - قسمت 22 - توزیع برنامه توسط IIS» بحث شد، باید به قسمت Authentication برنامهی مدنظر، در کنسول مدیریتی IIS رجوع کرد:
و سپس Windows Authentication را با کلیک راست بر روی آن و انتخاب گزینهی Enable، فعال نمود:
این تنظیم دقیقا معادل افزودن تنظیمات ذیل به فایل web.config برنامه است:
<system.webServer>
<security>
<authentication>
<anonymousAuthentication enabled="true" />
<windowsAuthentication enabled="true" />
</authentication>
</security>
</system.webServer>
اما اگر این تنظیمات را به فایل web.config اضافه کنید، پیام و خطای قفل بودن تغییرات مدخل windowsAuthentication را مشاهده خواهید کرد. به همین جهت بهترین راه تغییر آن، همان مراجعهی مستقیم به کنسول مدیریتی IIS است.
فعالسازی Windows Authentication در IIS Express
اگر برای آزمایش میخواهید از IIS Express به همراه ویژوال استودیو استفاده کنید، نیاز است فایلی را به نام Properties\launchSettings.json با محتوای ذیل در ریشهی پروژهی خود ایجاد کنید (و یا تغییر دهید):
{
"iisSettings": {
"windowsAuthentication": true,
"anonymousAuthentication": true,
"iisExpress": {
"applicationUrl": "http://localhost:3381/",
"sslPort": 0
}
}
}
در اینجا الزامی به خاموش کردن anonymousAuthentication نیست. اگر برنامهی شما قرار است هم توسط کاربران ویندوزی و هم توسط کاربران وارد شدهی از طریق اینترنت (و نه صرفا اینترانت داخلی) به برنامه، قابلیت دسترسی داشته باشد، نیاز است anonymousAuthentication به true تنظیم شده باشد (همانند تنظیمی که برای IIS اصلی ذکر شد).
تغییر مهم فایل web.config برنامه جهت هدایت اطلاعات ویندوز به آن
اگر پروژهی شما فایل web.config ندارد، باید آنرا اضافه کنید؛ با حداقل محتوای ذیل:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.webServer>
<handlers>
<add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModule" resourceType="Unspecified"/>
</handlers>
<aspNetCore processPath="%LAUNCHER_PATH%" arguments="%LAUNCHER_ARGS%"
stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout"
forwardWindowsAuthToken="true"/>
</system.webServer>
</configuration>
که در آن خاصیت forwardWindowsAuthToken، حتما به true تنظیم شده باشد. این مورد است که کار اعتبارسنجی و یکیسازی اطلاعات کاربر وارد شده به ویندوز و ارسال آنرا به میانافزار IIS برنامهی ASP.NET Core انجام میدهد. بدون تنظیم آن، با مراجعهی به سایت، شاهد نمایش صفحهی login ویندوز خواهید بود.
تنظیمات برنامهی ASP.NET Core جهت فعالسازی Windows Authentication
پس از فعالسازی windowsAuthentication در IIS و همچنین تنظیم forwardWindowsAuthToken به true در فایل web.config برنامه، اکنون جهت استفادهی از windowsAuthentication دو روش وجود دارد:
الف) تنظیمات مخصوص برنامههای Self host
اگر برنامهی وب شما قرار است به صورت self host ارائه شود (بدون استفاده از IIS)، تنها کافی است در تنظیمات ابتدای برنامه در فایل Program.cs، استفادهی از میانافزار HttpSys را ذکر کنید:
namespace ASPNETCore2WindowsAuthentication
{
public class Program
{
public static void Main(string[] args)
{
var host = new WebHostBuilder()
.UseKestrel()
.UseContentRoot(Directory.GetCurrentDirectory())
.UseStartup<Startup>()
.UseHttpSys(options => // Just for local tests without IIS, Or self-hosted scenarios on Windows ...
{
options.Authentication.Schemes =
AuthenticationSchemes.Negotiate | AuthenticationSchemes.NTLM;
options.Authentication.AllowAnonymous = true;
//options.UrlPrefixes.Add("http://+:80/");
})
.Build();
host.Run();
}
}
}
در اینجا باید دقت داشت که استفادهی از UseHttpSys با تنظیمات فوق، اعتبارسنجی یکپارچهی با ویندوز را برای برنامههای self host خارج از IIS مهیا میکند. اگر قرار است برنامهی شما در IIS هاست شود، نیازی به تنظیم فوق ندارید و کاملا اضافی است.
ب) تنظیمات مخصوص برنامههایی که قرار است در IIS هاست شوند
در اینحالت تنها کافی است UseIISIntegration در تنظیمات ابتدایی برنامه ذکر شود و همانطور که عنوان شد، نیازی به UseHttpSys در این حالت نیست:
namespace ASPNETCore2WindowsAuthentication
{
public class Program
{
public static void Main(string[] args)
{
var host = new WebHostBuilder()
.UseKestrel()
.UseContentRoot(Directory.GetCurrentDirectory())
.UseIISIntegration()
.UseDefaultServiceProvider((context, options) =>
{
options.ValidateScopes = context.HostingEnvironment.IsDevelopment();
})
.UseStartup<Startup>()
.Build();
host.Run();
}
}
} فعالسازی میانافزار اعتبارسنجی ASP.NET Core جهت یکپارچه شدن با Windows Authentication
در پایان تنظیمات فعالسازی Windows Authentication نیاز است به فایل Startup.cs برنامه مراجعه کرد و یکبار AddAuthentication را به همراه تنظیم ChallengeScheme آن به IISDefaults افزود:
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
services.Configure<IISOptions>(options =>
{
// Sets the HttpContext.User
// Note: Windows Authentication must also be enabled in IIS for this to work.
options.AutomaticAuthentication = true;
options.ForwardClientCertificate = true;
});
services.AddAuthentication(options =>
{
// for both windows and anonymous authentication
options.DefaultChallengeScheme = IISDefaults.AuthenticationScheme;
});
}
برای مثال اگر از ASP.NET Core Identity استفاده میکنید، سطر services.AddAuthentication فوق، پس از تنظیمات ابتدایی آن باید ذکر شود؛ هرچند روش فوق کاملا مستقل است از ASP.NET Core Identity و اطلاعات کاربر را از سیستم عامل و اکتیودایرکتوری (در صورت وجود) دریافت میکند.
آزمایش برنامه با تدارک یک کنترلر محافظت شده
در اینجا قصد داریم اطلاعات ذیل را توسط تعدادی اکشن متد، نمایش دهیم:
private string authInfo()
{
var claims = new StringBuilder();
if (User.Identity is ClaimsIdentity claimsIdentity)
{
claims.Append("Your claims: \n");
foreach (var claim in claimsIdentity.Claims)
{
claims.Append(claim.Type + ", ");
claims.Append(claim.Value + "\n");
}
}
return $"IsAuthenticated: {User.Identity.IsAuthenticated}; Identity.Name: {User.Identity.Name}; WindowsPrincipal: {(User is WindowsPrincipal)}\n{claims}";
}
کار آن نمایش نام کاربر، وضعیت لاگین او و همچنین لیست تمام Claims متعلق به او میباشد:
namespace ASPNETCore2WindowsAuthentication.Controllers
{
public class HomeController : Controller
{
public IActionResult Index()
{
return View();
}
[Authorize]
public IActionResult Windows()
{
return Content(authInfo());
}
private string authInfo()
{
var claims = new StringBuilder();
if (User.Identity is ClaimsIdentity claimsIdentity)
{
claims.Append("Your claims: \n");
foreach (var claim in claimsIdentity.Claims)
{
claims.Append(claim.Type + ", ");
claims.Append(claim.Value + "\n");
}
}
return $"IsAuthenticated: {User.Identity.IsAuthenticated}; Identity.Name: {User.Identity.Name}; WindowsPrincipal: {(User is WindowsPrincipal)}\n{claims}";
}
[AllowAnonymous]
public IActionResult Anonymous()
{
return Content(authInfo());
}
[Authorize(Roles = "Domain Admins")]
public IActionResult ForAdmins()
{
return Content(authInfo());
}
[Authorize(Roles = "Domain Users")]
public IActionResult ForUsers()
{
return Content(authInfo());
}
}
}
برای آزمایش برنامه، ابتدا برنامه را توسط دستور ذیل publish میکنیم:
سپس تنظیمات مخصوص IIS را که در ابتدای بحث عنوان شد، بر روی پوشهی bin\Debug\netcoreapp2.0\publish که محل قرارگیری پیشفرض خروجی برنامه است، اعمال میکنیم.
اکنون اگر برنامه را در مرورگر مشاهده کنیم، یک چنین خروجی قابل دریافت است:
در اینجا نام کاربر وارد شدهی به ویندوز و همچنین لیست تمام Claims او مشاهده میشوند. مسیر Home/Windows نیز توسط ویژگی Authorize محافظت شدهاست.
برای محدود کردن دسترسی کاربران به اکشن متدها، توسط گروههای دومین و اکتیودایرکتوری، میتوان به نحو ذیل عمل کرد:
[Authorize(Roles = @"<domain>\<group>")]
//or
[Authorize(Roles = @"<domain>\<group1>,<domain>\<group2>")]
و یا میتوان بر اساس این نقشها، یک سیاست دسترسی جدید را تعریف کرد:
services.AddAuthorization(options =>
{
options.AddPolicy("RequireWindowsGroupMembership", policy =>
{
policy.RequireAuthenticatedUser();
policy.RequireRole(@"<domain>\<group>"));
}
});
و در آخر از این سیاست دسترسی استفاده نمود:
[Authorize(Policy = "RequireWindowsGroupMembership")]
و یا با برنامه نویسی نیز میتوان به صورت ذیل عمل کرد:
[HttpGet("[action]")]
public IActionResult SomeValue()
{
if (!User.IsInRole(@"Domain\Group")) return StatusCode(403);
return Ok("Some Value");
} افزودن Claims سفارشی به Claims پیشفرض کاربر سیستم
همانطور که در شکل فوق ملاحظه میکنید، یک سری Claims حاصل از Windows Authentication در اینجا به شیء User اضافه شدهاند؛ بدون اینکه برنامه، صفحهی لاگینی داشته باشد و همینقدر که کاربر به ویندوز وارد شدهاست، میتواند از برنامه استفاده کند.
اگر نیاز باشد تا Claims خاصی به لیست Claims کاربر جاری اضافه شود، میتوان از پیاده سازی یک IClaimsTransformation سفارشی استفاده کرد:
public class ApplicationClaimsTransformation : IClaimsTransformation
{
private readonly ILogger<ApplicationClaimsTransformation> _logger;
public ApplicationClaimsTransformation(ILogger<ApplicationClaimsTransformation> logger)
{
_logger = logger;
}
public Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
{
if (!(principal.Identity is ClaimsIdentity identity))
{
return Task.FromResult(principal);
}
var claims = addExistingUserClaims(identity);
identity.AddClaims(claims);
return Task.FromResult(principal);
}
private IEnumerable<Claim> addExistingUserClaims(IIdentity identity)
{
var claims = new List<Claim>();
var user = @"VahidPC\Vahid";
if (identity.Name != user)
{
_logger.LogError($"Couldn't find {identity.Name}.");
return claims;
}
claims.Add(new Claim(ClaimTypes.GivenName, user));
return claims;
}
}
و روش ثبت آن نیز در متد ConfigureServices فایل آغازین برنامه به صورت ذیل است:
services.AddScoped<IClaimsTransformation, ApplicationClaimsTransformation>();
services.AddAuthentication(options =>
{
// for both windows and anonymous authentication
options.DefaultChallengeScheme = IISDefaults.AuthenticationScheme;
});
هر زمانیکه کاربری به برنامه وارد شود و متد HttpContext.AuthenticateAsync فراخوانی گردد، متد TransformAsync به صورت خودکار اجرا میشود. در اینجا چون forwardWindowsAuthToken به true تنظیم شدهاست، میانافزار IIS کار فراخوانی HttpContext.AuthenticateAsync و مقدار دهی شیء User را
به صورت خودکار انجام میدهد. بنابراین همینقدر که برنامه را اجرا کنیم، شاهد اضافه شدن یک Claim سفارشی جدید به نام ClaimTypes.GivenName که در متد addExistingUserClaims فوق آنرا اضافه کردیم، خواهیم بود:
به این ترتیب میتوان لیست Claims ثبت شدهی یک کاربر را در یک بانک اطلاعاتی استخراج و به لیست Claims فعلی آن افزود و دسترسیهای بیشتری را به او اعطاء کرد (فراتر از دسترسیهای پیشفرض سیستم عامل).
برای دسترسی به مقادیر این Claims نیز میتوان به صورت ذیل عمل کرد:
var userId = User.FindFirstValue(ClaimTypes.NameIdentifier);
var userName = User.FindFirstValue(ClaimTypes.Name);
var userName = User.FindFirstValue(ClaimTypes.GivenName);
کدهای کامل این برنامه را از اینجا میتوانید دریافت کنید: ASPNETCore2WindowsAuthentication.zip 
