Mehrere anspruchsbasierte Identitätsanbieter einem Benutzer mit ASP.NET zuordnen

Question

In einer ASP.NET MVC 4-Anwendung, die das .NET 4.5-Framework in Verbindung mit Azure Access Control Service (ACS) verwendet, möchte ich den Benutzern mehrere Authentifizierungsmöglichkeiten bieten (zB Google, Facebook, Windows Live usw.). Was ist die "beste Vorgehensweise" für die Zuordnung eines einzelnen Benutzers zu mehreren Identitätsanbietern?

Sagen Sie beispielsweise, dass sich der Benutzer eines Tages bei Google anmeldet und dann am nächsten Tag zu einem anderen Browser wechselt und sich bei Facebook anmeldet. Wie kann ich den Facebook-Login mit dem vorherigen Google-Login mit demselben Benutzer verknüpfen?

Answer 1

Wenn Sie ACS verwenden, können Sie die Informationen von jedem IdP (z. B. Gogle, Yahoo !, FB usw.) mithilfe der Anforderungsumwandlung auf ACS in ein gemeinsames Handle übersetzen. Ein gängiges Handle, das Leute verwenden, ist die Benutzer-E-Mail. Aber wenn Sie viele E-Mails Zuordnung zu den gleichen Benutzer annehmen möchten, dann würden Sie Ihre eigene einzigartige ID einführen (als Anspruch) und Karte IdP geliefert Ansprüche hinein:

• myemail@gmail.com (E-Mail - Google) -> (UserId - YourApp) Benutzer_1234
• myothereemail@yahoo.com (E-Mail - Yahoo!) -> (UserId - YourApp) user_1234
• 64746374613847349 (Nameidentifier - LiveID) -> (UserId - YourApp) user_1234

Sie diese durch ACS-API automatisieren. Sie sollten auch mit der ersten Anmeldung des Benutzers auf Ihrer Website umgehen (z. B. Benutzer nach einer E-Mail fragen und eine Bestätigungsnachricht senden, die das Mapping auslöst).

Vermutlich verwenden Sie diese Informationen zum Abrufen von Daten aus einer lokalen Datenbank in Ihrer App, andernfalls könnten Sie einfach alles in den Ansprüchen codieren und sich nicht um Äquivalenzen kümmern. Ansprüche sind oft ein guter Ort, um allgemeine Profildaten zu kodieren. (z. B. Rollen usw.)

Answer 2

Suchen Sie nicht weiter als stackoverflow selbst für ein gutes Beispiel dafür. Klicken Sie auf Ihr Benutzerprofil und wählen Sie "Meine Logins".

Wenn ein Benutzer ein Konto erstellt, wählt er den Identitätsanbieter aus, mit dem Sie sich anmelden möchten. Ihre Anwendung erstellt eine neue standortspezifische eindeutige Benutzer-ID und verknüpft sie mit einer von einem Drittanbieter bereitgestellten eindeutigen ID . (Sie könnten E-Mail verwenden, aber die meisten Identitätsanbieter bieten auch einen eindeutigen Benutzer-ID-Anspruch, der sich nicht ändert, selbst wenn der Benutzer seine E-Mail ändert)

Jetzt, nachdem der Benutzer sich angemeldet hat, verfügen sie über eine Kontoverwaltung Control Panel, über das sie zusätzliche Links zu anderen Identity Providern aufbauen können.

Ich sehe zwei Möglichkeiten, dieses Ziel zu erreichen:

1. Haben Sie Ihre MVC-Anwendung Konto Links bestehen. Wenn sich ein Nutzer anmeldet, fragen Sie Ihren Account-Link-Store mit dem eindeutigen ID-Anspruch des Drittanbieters ab und lösen Sie Ihre ortsspezifische eindeutige Nutzer-ID auf.

2. Verwenden Sie die ACS-Regel-Engine. Sie würden eine Regel pro Kontoverbindung erstellen. Zum Beispiel kann sagen, dass ich entweder mit gmail oder LiveID und meiner eindeutigen ID ist 1234. Zwei Regeln sehen wie folgt anmelden kann:

   • google + me@gmail.com -> Ausgang Benutzer-ID Anspruch 1234

   • LiveID + me@live.com -> Ausgang Benutzer-ID Anspruch 1234

Für die einzigartige Fallart-ID-Ausgabe, können Sie aus den verfügbaren Anspruchstypen auswählen oder eigene bezeichnen. ACS verfügt über eine OData based management service, die Sie verwenden können, um diese Regeln programmgesteuert von Ihrer MVC-Anwendung zu erstellen. Hier ist ein code sample.