فعالسازی Windows Authentication در برنامه‌های ASP.NET Core 2.0

اندازه‌ی قلم متن

تخمین مدت زمان مطالعه‌ی مطلب: نه دقیقه

اعتبارسنجی مبتنی بر ویندوز، بر اساس قابلیت‌های توکار ویندوز و اختیارات اعطا شده‌ی به کاربر وارد شده‌ی به آن، کار می‌کند. عموما محل استفاده‌ی از آن، در اینترانت داخلی شرکت‌ها است که بر اساس وارد شدن افراد به دومین و اکتیودایرکتوری آن، مجوز استفاده‌ی از گروه‌های کاربری خاص و یا سطوح دسترسی خاصی را پیدا می‌کنند. میان‌افزار اعتبارسنجی ASP.NET Core، علاوه بر پشتیبانی از روش‌های اعتبارسنجی مبتنی بر کوکی‌‌ها و یا توکن‌ها، قابلیت استفاده‌ی از اطلاعات کاربر وارد شده‌ی به ویندوز را نیز جهت اعتبارسنجی او به همراه دارد.

فعالسازی Windows Authentication در IIS

پس از publish برنامه و رعایت مواردی که در مطلب «ارتقاء به ASP.NET Core 1.0 - قسمت 22 - توزیع برنامه توسط IIS» بحث شد، باید به قسمت Authentication برنامه‌ی مدنظر، در کنسول مدیریتی IIS رجوع کرد:

و سپس Windows Authentication را با کلیک راست بر روی آن و انتخاب گزینه‌ی Enable، فعال نمود:

این تنظیم دقیقا معادل افزودن تنظیمات ذیل به فایل web.config برنامه است:

  <system.webServer>
    <security>
      <authentication>
        <anonymousAuthentication enabled="true" />
        <windowsAuthentication enabled="true" />
      </authentication>
    </security>
  </system.webServer>

اما اگر این تنظیمات را به فایل web.config اضافه کنید، پیام و خطای قفل بودن تغییرات مدخل windowsAuthentication را مشاهده خواهید کرد. به همین جهت بهترین راه تغییر آن، همان مراجعه‌ی مستقیم به کنسول مدیریتی IIS است.

فعالسازی Windows Authentication در IIS Express

اگر برای آزمایش می‌خواهید از IIS Express به همراه ویژوال استودیو استفاده کنید، نیاز است فایلی را به نام Properties\launchSettings.json با محتوای ذیل در ریشه‌ی پروژه‌ی خود ایجاد کنید (و یا تغییر دهید):

{
  "iisSettings": {
    "windowsAuthentication": true,
    "anonymousAuthentication": true,
    "iisExpress": {
      "applicationUrl": "http://localhost:3381/",
      "sslPort": 0
    }
  }
}

در اینجا الزامی به خاموش کردن anonymousAuthentication نیست. اگر برنامه‌ی شما قرار است هم توسط کاربران ویندوزی و هم توسط کاربران وارد شده‌ی از طریق اینترنت (و نه صرفا اینترانت داخلی) به برنامه، قابلیت دسترسی داشته باشد، نیاز است anonymousAuthentication به true تنظیم شده باشد (همانند تنظیمی که برای IIS اصلی ذکر شد).

تغییر مهم فایل web.config برنامه جهت هدایت اطلاعات ویندوز به آن

اگر پروژه‌ی شما فایل web.config ندارد، باید آن‌را اضافه کنید؛ با حداقل محتوای ذیل:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.webServer>
    <handlers>
      <add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModule" resourceType="Unspecified"/>
    </handlers>
    <aspNetCore processPath="%LAUNCHER_PATH%" arguments="%LAUNCHER_ARGS%" 
            stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout" 
            forwardWindowsAuthToken="true"/>
  </system.webServer>
</configuration>

که در آن خاصیت forwardWindowsAuthToken، حتما به true تنظیم شده باشد. این مورد است که کار اعتبارسنجی و یکی‌سازی اطلاعات کاربر وارد شده به ویندوز و ارسال آن‌را به میان‌افزار IIS برنامه‌ی ASP.NET Core انجام می‌دهد. بدون تنظیم آن، با مراجعه‌ی به سایت، شاهد نمایش صفحه‌ی login ویندوز خواهید بود.

تنظیمات برنامه‌ی ASP.NET Core جهت فعالسازی Windows Authentication

پس از فعالسازی windowsAuthentication در IIS و همچنین تنظیم forwardWindowsAuthToken به true در فایل web.config برنامه، اکنون جهت استفاده‌ی از windowsAuthentication دو روش وجود دارد:

الف) تنظیمات مخصوص برنامه‌های Self host
اگر برنامه‌ی وب شما قرار است به صورت self host ارائه شود (بدون استفاده از IIS)، تنها کافی است در تنظیمات ابتدای برنامه در فایل Program.cs، استفاده‌ی از میان‌افزار HttpSys را ذکر کنید:

namespace ASPNETCore2WindowsAuthentication
{
    public class Program
    {
        public static void Main(string[] args)
        {
            var host = new WebHostBuilder()
                                     .UseKestrel()
                                     .UseContentRoot(Directory.GetCurrentDirectory())
                                     .UseStartup<Startup>()
                                     .UseHttpSys(options => // Just for local tests without IIS, Or self-hosted scenarios on Windows ...
                                     {
                                         options.Authentication.Schemes =
                                              AuthenticationSchemes.Negotiate | AuthenticationSchemes.NTLM;
                                         options.Authentication.AllowAnonymous = true;
                                         //options.UrlPrefixes.Add("http://+:80/");
                                     })
                                     .Build();
            host.Run();
        }
    }
}

در اینجا باید دقت داشت که استفاده‌ی از UseHttpSys با تنظیمات فوق، اعتبارسنجی یکپارچه‌ی با ویندوز را برای برنامه‌های self host خارج از IIS مهیا می‌کند. اگر قرار است برنامه‌ی شما در IIS هاست شود، نیازی به تنظیم فوق ندارید و کاملا اضافی است.

ب) تنظیمات مخصوص برنامه‌هایی که قرار است در IIS هاست شوند

در این‌حالت تنها کافی است UseIISIntegration در تنظیمات ابتدایی برنامه ذکر شود و همانطور که عنوان شد، نیازی به UseHttpSys در این حالت نیست:

namespace ASPNETCore2WindowsAuthentication
{
    public class Program
    {
        public static void Main(string[] args)
        {
            var host = new WebHostBuilder()
                                     .UseKestrel()
                                     .UseContentRoot(Directory.GetCurrentDirectory())
                                     .UseIISIntegration()
                                     .UseDefaultServiceProvider((context, options) =>
                                     {
                                         options.ValidateScopes = context.HostingEnvironment.IsDevelopment();
                                     })
                                     .UseStartup<Startup>()
                                     .Build();
            host.Run();
        }
    }
}

فعالسازی میان‌افزار اعتبارسنجی ASP.NET Core جهت یکپارچه شدن با Windows Authentication

در پایان تنظیمات فعالسازی Windows Authentication نیاز است به فایل Startup.cs برنامه مراجعه کرد و یکبار AddAuthentication را به همراه تنظیم ChallengeScheme آن به IISDefaults افزود:

        public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc();

            services.Configure<IISOptions>(options =>
            {
                // Sets the HttpContext.User
                // Note: Windows Authentication must also be enabled in IIS for this to work.
                options.AutomaticAuthentication = true;
                options.ForwardClientCertificate = true;
            });
            
            services.AddAuthentication(options =>
            {
                // for both windows and anonymous authentication
                options.DefaultChallengeScheme = IISDefaults.AuthenticationScheme;
            });
        }

برای مثال اگر از ASP.NET Core Identity استفاده می‌کنید، سطر services.AddAuthentication فوق، پس از تنظیمات ابتدایی آن باید ذکر شود؛ هرچند روش فوق کاملا مستقل است از ASP.NET Core Identity و اطلاعات کاربر را از سیستم عامل و اکتیودایرکتوری (در صورت وجود) دریافت می‌کند.

آزمایش برنامه با تدارک یک کنترلر محافظت شده

در اینجا قصد داریم اطلاعات ذیل را توسط تعدادی اکشن متد، نمایش دهیم:

        private string authInfo()
        {
            var claims = new StringBuilder();
            if (User.Identity is ClaimsIdentity claimsIdentity)
            {
                claims.Append("Your claims: \n");
                foreach (var claim in claimsIdentity.Claims)
                {
                    claims.Append(claim.Type + ", ");
                    claims.Append(claim.Value + "\n");
                }
            }

            return $"IsAuthenticated: {User.Identity.IsAuthenticated}; Identity.Name: {User.Identity.Name}; WindowsPrincipal: {(User is WindowsPrincipal)}\n{claims}";
        }

کار آن نمایش نام کاربر، وضعیت لاگین او و همچنین لیست تمام Claims متعلق به او می‌باشد:

namespace ASPNETCore2WindowsAuthentication.Controllers
{
    public class HomeController : Controller
    {
        public IActionResult Index()
        {
            return View();
        }

        [Authorize]
        public IActionResult Windows()
        {
            return Content(authInfo());
        }

        private string authInfo()
        {
            var claims = new StringBuilder();
            if (User.Identity is ClaimsIdentity claimsIdentity)
            {
                claims.Append("Your claims: \n");
                foreach (var claim in claimsIdentity.Claims)
                {
                    claims.Append(claim.Type + ", ");
                    claims.Append(claim.Value + "\n");
                }
            }

            return $"IsAuthenticated: {User.Identity.IsAuthenticated}; Identity.Name: {User.Identity.Name}; WindowsPrincipal: {(User is WindowsPrincipal)}\n{claims}";
        }

        [AllowAnonymous]
        public IActionResult Anonymous()
        {
            return Content(authInfo());
        }

        [Authorize(Roles = "Domain Admins")]
        public IActionResult ForAdmins()
        {
            return Content(authInfo());
        }

        [Authorize(Roles = "Domain Users")]
        public IActionResult ForUsers()
        {
            return Content(authInfo());
        }
    }
}

برای آزمایش برنامه، ابتدا برنامه را توسط دستور ذیل publish می‌کنیم:

 dotnet publish

سپس تنظیمات مخصوص IIS را که در ابتدای بحث عنوان شد، بر روی پوشه‌ی bin\Debug\netcoreapp2.0\publish که محل قرارگیری پیش‌فرض خروجی برنامه است، اعمال می‌کنیم.
اکنون اگر برنامه را در مرورگر مشاهده کنیم، یک چنین خروجی قابل دریافت است:

در اینجا نام کاربر وارد شده‌ی به ویندوز و همچنین لیست تمام Claims او مشاهده می‌شوند. مسیر Home/Windows نیز توسط ویژگی Authorize محافظت شده‌است.
برای محدود کردن دسترسی کاربران به اکشن متدها، توسط گروه‌های دومین و اکتیودایرکتوری، می‌توان به نحو ذیل عمل کرد:

[Authorize(Roles = @"<domain>\<group>")]
//or
[Authorize(Roles = @"<domain>\<group1>,<domain>\<group2>")]

و یا می‌توان بر اساس این نقش‌ها، یک سیاست دسترسی جدید را تعریف کرد:

services.AddAuthorization(options =>
{
   options.AddPolicy("RequireWindowsGroupMembership", policy =>
   {
     policy.RequireAuthenticatedUser();
     policy.RequireRole(@"<domain>\<group>"));  
   }
});

و در آخر از این سیاست دسترسی استفاده نمود:

 [Authorize(Policy = "RequireWindowsGroupMembership")]

و یا با برنامه نویسی نیز می‌توان به صورت ذیل عمل کرد:

[HttpGet("[action]")]
public IActionResult SomeValue()
{
    if (!User.IsInRole(@"Domain\Group")) return StatusCode(403);
    return Ok("Some Value");
}

افزودن Claims سفارشی به Claims پیش‌فرض کاربر سیستم

همانطور که در شکل فوق ملاحظه می‌کنید، یک سری Claims حاصل از Windows Authentication در اینجا به شیء User اضافه شده‌اند؛ بدون اینکه برنامه، صفحه‌ی لاگینی داشته باشد و همینقدر که کاربر به ویندوز وارد شده‌است، می‌تواند از برنامه استفاده کند.
اگر نیاز باشد تا Claims خاصی به لیست Claims کاربر جاری اضافه شود، می‌توان از پیاده سازی یک IClaimsTransformation سفارشی استفاده کرد:

    public class ApplicationClaimsTransformation : IClaimsTransformation
    {
        private readonly ILogger<ApplicationClaimsTransformation> _logger;

        public ApplicationClaimsTransformation(ILogger<ApplicationClaimsTransformation> logger)
        {
            _logger = logger;
        }

        public Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
        {
            if (!(principal.Identity is ClaimsIdentity identity))
            {
                return Task.FromResult(principal);
            }

            var claims = addExistingUserClaims(identity);
            identity.AddClaims(claims);

            return Task.FromResult(principal);
        }

        private IEnumerable<Claim> addExistingUserClaims(IIdentity identity)
        {
            var claims = new List<Claim>();
            var user = @"VahidPC\Vahid";
            if (identity.Name != user)
            {
                _logger.LogError($"Couldn't find {identity.Name}.");
                return claims;
            }

            claims.Add(new Claim(ClaimTypes.GivenName, user));
            return claims;
        }
    }

و روش ثبت آن نیز در متد ConfigureServices فایل آغازین برنامه به صورت ذیل است:

            services.AddScoped<IClaimsTransformation, ApplicationClaimsTransformation>();
            services.AddAuthentication(options =>
            {
                // for both windows and anonymous authentication
                options.DefaultChallengeScheme = IISDefaults.AuthenticationScheme;
            });

هر زمانیکه کاربری به برنامه وارد شود و متد HttpContext.AuthenticateAsync فراخوانی گردد، متد TransformAsync به صورت خودکار اجرا می‌شود. در اینجا چون forwardWindowsAuthToken به true تنظیم شده‌است، میان‌افزار IIS کار فراخوانی HttpContext.AuthenticateAsync و مقدار دهی شیء User را به صورت خودکار انجام می‌دهد. بنابراین همینقدر که برنامه را اجرا کنیم، شاهد اضافه شدن یک Claim سفارشی جدید به نام ClaimTypes.GivenName که در متد addExistingUserClaims فوق آن‌را اضافه کردیم، خواهیم بود:

به این ترتیب می‌توان لیست Claims ثبت شده‌ی یک کاربر را در یک بانک اطلاعاتی استخراج و به لیست Claims فعلی آن افزود و دسترسی‌های بیشتری را به او اعطاء کرد (فراتر از دسترسی‌های پیش‌فرض سیستم عامل).

برای دسترسی به مقادیر این Claims نیز می‌توان به صورت ذیل عمل کرد:

var userId = User.FindFirstValue(ClaimTypes.NameIdentifier);
var userName = User.FindFirstValue(ClaimTypes.Name);
var userName = User.FindFirstValue(ClaimTypes.GivenName);

کدهای کامل این برنامه را از اینجا می‌توانید دریافت کنید: ASPNETCore2WindowsAuthentication.zip

‫۶ سال و ۱۱ ماه قبل، یکشنبه ۳۰ مهر ۱۳۹۶، ساعت ۲۳:۲۰

۳۹۲۴

Security ASP.NET Core ASP.NET Core Identity ASP.NET Core 2.0

مطالب مشابه

مطالب اعتبارسنجی مبتنی بر JWT در ASP.NET Core 2.0 بدون استفاده از سیستم Identity

مطالب امن سازی برنامه‌های ASP.NET Core توسط IdentityServer 4x - قسمت ششم - کار با User Claims

مطالب امن سازی برنامه‌های ASP.NET Core توسط IdentityServer 4x - قسمت یازدهم- استفاده از تامین کننده‌های هویت خارجی

مطالب امن سازی برنامه‌های ASP.NET Core توسط IdentityServer 4x - قسمت دوازدهم- یکپارچه سازی با اکانت گوگل

مطالب امن سازی برنامه‌های ASP.NET Core توسط IdentityServer 4x - قسمت پنجم - پیاده سازی ورود و خروج از سیستم

مطالب سفارشی سازی ASP.NET Core Identity - قسمت چهارم - User Claims

مطالب ASP.NET MVC #18

مطالب احراز هویت و اعتبارسنجی کاربران در برنامه‌های Angular - قسمت پنجم - محافظت از مسیرها

نظرات مطالب سفارشی سازی ASP.NET Core Identity - قسمت پنجم - سیاست‌های دسترسی پویا

#

وحید نصیری

‫۶ سال و ۱۱ ماه قبل، سه‌شنبه ۲ آبان ۱۳۹۶، ساعت ۱۶:۲۷
یک نکته‌ی تکمیلی: فعالسازی IClaimsTransformation در حالت استفاده‌ی از HttpSys

اگر مثال انتهای بحث را برای حالت HttpSys اجرا کنید (مراجعه به فایل Program.cs و فعالسازی UseHttpSys کامنت شده)، و سپس اجرای برنامه توسط dotnet run (و نه IIS) به صورت مستقل، مشاهده خواهید کرد که GivenName در لیست Claims ظاهر نمی‌شود. یعنی IClaimsTransformation اجرا نشده‌است (برخلاف حالت اجرای برنامه توسط IIS که تصویر آن در انتهای بحث ارسال شده‌است).
برای فعالسازی کامل HttpSys (عدم استفاده از IIS و حالت‌های اجرای متکی به خود)، دو مرحله‌ی دیگر نیاز است:
الف) مشخص سازی HttpSysDefaults به عنوان DefaultAuthenticateScheme

services.AddAuthentication(options => { // for both windows and anonymous authentication //options.DefaultChallengeScheme = IISDefaults.AuthenticationScheme; // Use it for IIS options.DefaultChallengeScheme = HttpSysDefaults.AuthenticationScheme; // Use it for HttpSys options.DefaultAuthenticateScheme = HttpSysDefaults.AuthenticationScheme; // Use it for HttpSys });

ب) ذکر اجباری متد ()app.UseAuthentication در متد Configure فایل آغازین برنامه. این مورد برای کار با IIS اجباری نیست.
پس از این دو تنظیم است که IClaimsTransformation در حالت استفاده‌ی از HttpSys به صورت خودکار اجرا خواهد شد.
#

علیرضا صبوری

‫۶ سال و ۱۰ ماه قبل، پنجشنبه ۴ آبان ۱۳۹۶، ساعت ۱۸:۵۹

سلام حقیقت من شخصا اعتقادی به استفاده از Windows-authentication برای اعتبار سنجی نداشتم ولی پروژه ای الان در دست دارم که ارتباط زیادی با اکتیو دایرکتوری داره.. به همین دلیل میخواستم بدونم:
بخش دسترسی‌های کاربر رو هم میشه سمت اکتیودایرکتوری پیاده سازی کرد و برنامه از اون اطلاعات استفاده کنه یا چنین چیزی در Windows-authentication و اکتیودایرکتوری پیشبینی نشده. اگر قابل پیاده سازی بود ممنون میشم منبع معرفی کنید.
- #
  
  وحید نصیری
  
  ‫۶ سال و ۱۰ ماه قبل، پنجشنبه ۴ آبان ۱۳۹۶، ساعت ۲۲:۵۲
  چند نمونه مثال از استفاده‌ی از این دسترسی‌ها در متن هست؛ مانند:
  
  [Authorize(Roles = @"<domain>\<group>")]
  
  کاربری را در تنظیمات اکتیو دایرکتوری در گروه خاصی قرار می‌دهید. این دسترسی تعریف شده‌ی در سطح دومین، در فیلتر Authorize به نحو فوق، برای کاربر لاگین شده‌ی به ویندوز قابل تنظیم و استفاده است.
  SharePoint مایکروسافت، یک نمونه‌ی عملی از بکارگیری Windows Authentication و این دسترسی‌ها هست.
#

وحید نصیری

‫۶ سال قبل، یکشنبه ۲۵ شهریور ۱۳۹۷، ساعت ۱۶:۳۹
یک نکته‌ی تکمیلی: UseHttpSys و استفاده‌ی از HTTPS

اگر بخواهید برای آزمایش برنامه از روش UseHttpSys استفاده کنید و همچنین « اجبار به استفاده‌ی از HTTPS در حین توسعه‌ی برنامه‌های ASP.NET Core 2.1 » را هم فعال کرده باشید ... برنامه کار نمی‌کند. از این جهت که در حالت استفاده‌ی از http.sys ویندوز، آدرس‌ها و پورت‌های SSL، باید به این صورت نصب شوند:

netsh http add sslcert ipport=0.0.0.0:6001 certhash=<thumbprint of certificate> appid={new guid here} certstorename=Root

در اینجا در کنسول مدیریت مجوزهای ویندوز، به خواص آن مجوز مراجعه کرده و thumbprint آن‌را در قسمت certhash وارد کنید. یک guid دلخواه را هم باید داخل {} در قسمت appid ذکر کنید. سپس این دستور را با دسترسی مدیریتی در خط فرمان ویندوز اجرا کنید. پس از آن است که برنامه برای مثال می‌تواند بر روی پورت 6001 که SSL تعریف شده، از http.sys استفاده کند.

مشکلات احتمالی

مجوزی که در اینجا ذکر می‌شود باید دارای private key بوده و همچنین در local computer وارد شده باشد؛ در غیراینصورت خطای زیر را دریافت می‌کنید:

SSL Certificate add failed, Error: 1312 A specified logon session does not exist. It may already have been terminated.

- برای رفع آن از طریق اجرای certmgr.msc، در قسمت «Personal/Certificates»، مجوز پیش‌فرض ASP.NET Core را با نام «ASP.NET Core HTTPS development certificate»، انتخاب کرده و بر روی آن کلیک راست کنید. سپس گزینه‌ی All tasks -> export را انتخاب کنید. نکته‌ی مهمی را که در اینجا باید رعایت کنید، انتخاب گزینه‌ی «yes, export the private key» است. کپی و paste این مجوز از اینجا به جایی دیگر، این private key را export نمی‌کند. به همین جهت مشکل فوق را مشاهده خواهید کرد. در پایان این عملیات، یک فایل pfx را خواهید داشت.

- اکنون برای import این فایل pfx، بجای ورود به قسمت مدیریت مجوزهای ویندوز از طریق certmgr.msc، نیاز است از طریق mmc و add remove snap-ins وارد شوید تا بتوانید به local computer دسترسی پیدا کنید.

- به همین جهت در خط فرمان دستور mmc را وارد کرده و آن‌را اجرا کنید. در صفحه‌ی باز شده، گزینه‌ی File -> Add remove snap-ins را انتخاب کنید. در اینجا در لیست ظاهر شده، certificates را انتخاب و add کنید. در صفحه‌ی بعدی نیز computer account و سپس local computer را انتخاب کنید. اکنون بر روی دکمه‌ی ok کلیک کنید تا صفحه‌ی certificate مخصوص local computer ظاهر شود. حالت استفاده‌ی از certmgr.msc، مجوزهای current user را نمایش می‌دهد که برای اینکار مناسب نیست.

- در پایان، این فایل pfx را در مسیر «Trusted Root Certification Authorities/Certificates» قرار دهید. برای اینکار بر روی نود certificate کلیک راست کرده و گزینه‌ی All tasks -> import را انتخاب کنید. سپس مسیر فایل pfx خود را داده و این مجوز را import نمائید.

- اکنون اگر مجددا دستور netsh http add sslcert یاد شده را اجرا کنید، بدون مشکل اجرا می‌شود.
#

جواد غدیری

‫۴ سال و ۵ ماه قبل، دوشنبه ۱۱ فروردین ۱۳۹۹، ساعت ۱۸:۳۷

نسخه بروز رسانی شده با ASP.NET Core 3.1 همین پروژه هم در دسترس هست؟
- #
  
  وحید نصیری
  
  ‫۴ سال و ۵ ماه قبل، سه‌شنبه ۱۲ فروردین ۱۳۹۹، ساعت ۱۵:۵۵
  
  از اینجا دریافتش کنید: ASPNETCore3xWindowsAuthentication.zip
  
  با اجرای dotnet_run.bat آزمایش شده. فقط سه فایل csproj، startup و program آن اندکی تغییر داشته‌اند؛ مابقی آن مانند قبل است.