外部のWebサイトからASP.NET "ログオン"

Question

見た目は答えを見つけることができません。タイトルが何であるべきか正確にはわからない。 "箱の外"からのいくつかの提案を期待しています。私はこれに直面している唯一の人ではないと思う。

"どのようにASP.NETアプリケーションが「Webサイトでユーザー権限が既に実行されている」と受け入れることができますか？

独自のASP.NET（2.0）アプリケーションがあります。 FBAまたはWindows認証のいずれかをサポートしています。さらに、「非Windows」ログオン用の独自の「username + password」テーブルがあります。今では、イントラネット+ Windowsログオンを利用して自分のユーザーを自分のWebサイトに埋め込み、自分の外部インターネットユーザーがアクセスできるようにする方法を顧客から求められています。

必要条件は、（外部の）顧客がいくつかのユーザー名+パスワード認証で「メンバーサイト領域」にログオンすることです。彼らは私たちのページに "透過的に"アクセスしたいと思っています。とりわけ、エンドユーザは任意のユーザ名+パスワードを補充する必要はありません。単に、渡されたユーザ名を「受け入れる」方法が必要です。 サイトが自分の認証の方法で何を持っているかを知る方法がありません;彼ら自身のサイトは、例えばASPに書かれているかもしれません。そして、彼らは何かを変えるために少しの努力をしたいと思うでしょう。

だから私はこれにどのようにアプローチしますか？私は何も頑丈なものではないことを認識している顧客はそれを期待しませんが、最小限のものを期待します。たとえば、「私のアプリに？username = ...を付けてアプリにURLを埋め込む」と言えば、外部から知っている人は誰でも自分のアプリで認証されることなくアプリに入る可能性があります。 URLにパスワードを入力することはほとんど役に立ちません...これに対処するためのアドバイスはありますか？または、単に「ユーザーがあなたのアプリに直接アクセスできないように、Webページへのアクセスが確実に保護されている」ことを確認します。

これはあまりにも長くないと思っています。私はそれが漠然とした領域であることを知っています、どんな提案も高く評価されます。

Answer 1

しかし、私はASP.NET Membershipフレームワークを利用し、独自のメンバシッププロバイダを作成して認証スキームとやりとりすることを推奨しますが、設計されていますが、URLだけではセキュリティでは不十分だと推測しています立場。

Answer 2

警告：：これはおそらく言うまでもありませんが、これは長くて難しいと思います。あなたが与えたパラメータを使用すると、あなたのシステム全体を突き止めるのに不思議な人にまで、システム全体を開くリスクを冒すことになります。私はあなたのデータの性質がどれほど敏感であるかはわかりませんが、それは1つの違反と怒っている顧客であり、あなたは熱い水の中にいる可能性があります。

あなたの顧客に多くの作業を依頼するつもりがない場合は、オプションがかなり制限されます。

スペクトルの非常に安いところでは、おそらくサイトのページにリンクして、何らかの種類のsiteIdとユーザー名をクエリ文字列に渡すように要求することができます。参照URL（www.yourcustomersite.com）は、あなたが最後に使用しているテーブルのsiteIdと一致します。

この欠点は、リフェレーターがスプーフィングされる可能性があるため、非常に簡単な解決策ではなく、何もないことより優れていることです。

お客様にわずかな作業をさせることができれば、少なくとも各ユーザーの固有の認証トークンを提供し、ユーザー名の代わりにトークンを送信する必要があります。あなたはそれを得るかもしれない？siteId = yourCustomer &ユーザー名の代わりにauthToken = DKDlas29df9aa01sk

また、それほど良くはありませんが、少なくともブルートフォース攻撃は、それほど難しくありません。

これが役に立ちます。がんばろう！

Answer 3

チケットを受け取りましたか？ Webサービスを実装し、Webアプリケーションにログインするユーザーのチケットを発行することに興味がありますか。ユーザーがあなたのWebアプリケーションを訪問すると、チケットをチェックすることができます（実際にはWebサービスを使用して検証します）...クライアントのブラウザがチケットを保存する方法について少し問題があります...

一方私はOpenIDを使用しているユーザーのstackoverflowログを参照してください...（ユーザーは資格情報を2回入力する必要がありますが、同じアカウントを使用します）これで十分でしょうか？

Answer 4

まず、this blog postを確認してください。これは、ASP.net Webアプリケーションのシングルサインオンの包括的なガイドです。

異なるドメインにあるサイトで提示されている解決策については（まったく別のドメインにいる場合は認証Cookieを共有できません）、セキュリティ上の重大な問題があると思います。私たちはSSOのあるWebサイトでAndreiの提案に類似したことをしました。ユーザーがメインサイトにログインしてセカンダリサイトにアクセスする場合、サイトへのリンクにはチケットが保持されます（ランダムなGUIDを使用しました）。メインサイトは、Guidに関連付けられたデータベースセッション情報と作成時間（チケットの有効期限）を格納します。セカンダリサイトが新しい無認可のユーザーを検出し、それがWebサービスを介してメインサイトにアクセスするチケットを検出すると、セカンダリサイトはチケットをチェックし、保存したすべてのセッション情報を返します。もう一方のサイトは、ユーザーを認証し、それ自身の認証Cookieを発行することができます。ユーザーが他のサイトを参照している間、メインサイトのセッションを有効にしておくために何かを実装しなければならないので、しばらく休んでもログインする必要はありません。これは、永続的なCookie、またはメインサイトのダミーページを指し示すセカンダリサイトのiframeで実現できます。