ASP.NETコアIDとアイデンティティサーバー4 - [役割、クレームとアイデンティティリソース]

Question

アイデンティティサーバー4とASP.NETアイデンティティを統合する際の説明をお願いしたいと思います。

私は2つのデータベースコンテキストで作業しています。 Microsoft.AspNetCore.Identity.EntityFrameworkCore.IdentityDbContext<IdentityUser>およびIdentityServer4.EntityFramework.DbContexts.ConfigurationDbContext。

Identity Server 4はAspNetIdentity .AddAspNetIdentity<IdentityUser>()を使用しています。

したがってIdentityUserにはIdentityUserClaimsが割り当てられており、成功した認証後にJWTトークンに正しく反映されます。

ここで、IdentityServer4 ConfigurationDbContextのIdentityResourceとIdentityClaim:UserClaimとは何ですか？現在、クレームはaspnetアイデンティティから使用されているため、このエンティティはまったく使用されていません。私は正しい？

もう1つの質問はどうですか？ApiScopeClaimsは現在ゲームになっていますか？それらはトークンが発行されるApiScopeのためにIdentity Serverによって引き続き使用されます。右？しかし、異なるdb文脈からのものであることを今まででは同期ApiScopeClaimとIdentityUserClaimに任せておきます。

最後の質問はとIdentityRoleClaimsで、IdentityUserClaimsと同じではありません。何の背後にある考えですか？私の考えでは、ロールは特定のビジネスロールに対するクレームをグルーピングして管理しやすいため、ロールは新しいクレームを定義すべきではなく、IdentityUserClaimsのリファレンスセットを定義すべきです。さらに、ユーザーに割り当てられたロールを作成しました。スコープと結果に割り当てられた対応するクレームタイプは - ロールに割り当てられたクレームとこのロールを持つユーザーはJWTには含まれません。どうして？

ありがとうございました。

Answer 1

IdentityResourceは、請求項のカテゴリまたはグループです。各IdentityResourceは、AspNetUserClaimsに保持されている実際のクレームへの参照である多くのIdentityClaimsを持つことができます。組み込みのIdentityResourcesはopenidとprofileです。

ApiScopeClaimsは、（上述のアイデンティティリソースとは対照的である。）APIリソースの階層の一部である

ApiResource --has many--> ApiScopes --has many--> ApiScopeClaims. 

ApiScopeClaimにクレームタイプを追加access_tokenに（存在する場合）AspNetUserClaimを取り付けますユーザがそれを要求したときApiScope。

IdentityRoleClaim（つまり、AspNetRoleClaim）は、特定の役割に関して触れることができるちょっとした情報です。それはユーザーに関連するのではなく、役割自体に関連しています。

サウンドは、クレームの論理グループにIdentityResourceを作成し、それらのクレームタイプをIdentityClaimsに定義したいと思うようです。しかし、適切なIdentityResourceをscopeパラメータに要求するためには、まずユーザーの役割を見つける方法が必要です。または、IProfileServiceのようなIdentityServerインタフェースの1つを実装して、IdentityServerインスタンスでこの種の作業を行います。