IdentityServer - 認証のためのADと残りの部分は

Question

セットアップして、起動している基本的なIdentityServerを持っています。私はIdentity ManagerとIdentity Adminを使用して、すべてのもの（ユーザー、ロール、クレーム、クライアント、スコープ）をデータベースに保持しています。次のステップは、認証をADに統合することです。私の要件は以下のとおりです。

• ユーザーは、（彼らは今のように）
• ユーザー権限（請求/役割は）データベースに保存されるADに対して認証されます
• クライアントアプリケーションに応じて、私は別の3を持っていますシナリオ：
  • 場合によっては、現在のユーザーのIDを使用する必要があります（これは動作するためには、Identity ServerはWindows認証で実行する必要があります）。ユーザーには何も入力する必要はありません。
  • 場合によっては、ユーザーが明示的にログインする必要があります。彼は現在のログインを使用できます。
  • ADに対して検証されるユーザー名とパスワードを手動で入力します。

私はどのように進めるために、いくつかのポインタ/方向を探しています。自分自身でログインシーケンスを完全に処理する必要がありますか、私のソリューションなどの基盤となるものがありますか？

助けていただければ幸いです。いくつかの周りに掘った後

Answer 1

：idsrvで

This exampleは、別のWebアプリケーションとどのようにWS-与え、そのWebアプリケーションに委譲することを利用するにはauthn Windowsを実行する方法を示しています。これはthis issueでも説明されています。

This blog post by scott bradyは、依存者とどのように作り、あなたはこれらのWSフェデレーションの委任の両方を使用する場合は、ADFS

にユーザ名/パスワードのログインを許可するように、供給WSでADFSに委譲するようidsrv許可するようにADFSを設定する方法を示し必ず認証タイプに異なる値を使用してください。

最初にリダイレクトにacr_valuesとidpを追加し、idpをwinauth外部idpの名前に設定することで、ユーザーに最初にwinauthを試すことができます。 the idsrv docs here

this techniqueを使用して、外部winauthプロバイダーからのログイン失敗を検出し、自動的にadfsプロバイダーにリダイレクトすることができます。

何らかの理由でログインページにアクセスした場合、disable local login（ユーザー名とパスワードの入力フィールドは表示されません）と外部プロバイダ（winauthとadfs）がデフォルトでボタンとして表示されます。

---

編集：

はい、あなたは

するWinAuthを持つユーザーのためのフローは

になり、Windows統合認証でidsrv実行する必要がなくなりidsrvの隣に追加のウェブアプリを、追加します

client app -> IdSrv (login page) -> WinAuthHost -> IdSrv (auth endpoint)-> client app 

実際には、成功した場合、ユーザーはほとんどの場合、WinauthHostにクライアントアプリケーションと1つの画面しか表示されず、Idsrvは表示されません

ユーザーがWindows（または正しくないドメイン）にログインしていない場合、フローは、この

client app -> IdSrv (login page) -> WinAuthHost -> IdSrv login (auth endpoint, fails) 
-> ADFS -> IdSrv login (auth endpoint) -> client app