我们有一个 ASP.NET (Framework v4.7.2) 网站,该网站通过 Azure Active Directory 使用联合登录,用于 SSO 目的,对用户进行身份验证。
该网站希望用户位于某个 Active Directory 组中,以便访问该站点。我自己和另一个用户在同一个组中,但是当我们都访问该站点时,我们得到了不同的结果。我可以访问该站点,但我的同事收到了“401 unathorised”错误页面(通过 返回AuthorizeAttribute
)。
深入研究这一点,我可以将我所属的 AD 组作为声明包含在此集合中
System.Security.Claims.ClaimsPrincipal.Current.Claims
但是对于我的同事来说,缺少相同的群体声明。
我有一些调试代码可以做到这一点......
foreach (var claim in System.Security.Claims.ClaimsPrincipal.Current.Claims)
{
if (string.Equals("the-object-id-of-the-group", claim.Value))
{
// User has the group claim...
}
}
当我登录时,我看到一条日志消息,说明我拥有该组声明,但我的同事在登录时没有看到该消息。
在 Chrome DevTools 中查看我们对站点的请求时,我可以看到一堆set-cookie
细节的不同。例如,我的请求包含AdminFedAuth
比我的同事更多的set-cookie 调用,并且我同事的整体内容长度要短得多。
虽然我的同事是比我更多的 AD 组的成员,但这没有什么区别,因为其他人可以访问该站点是比我更多的组的成员。所以我认为这可能是一个人所关联的群体数量的问题,但事实并非如此。
我被困在还有什么要调查的问题上以诊断问题所在。任何建议将不胜感激。
答案是我必须更改 Azure Active Directory 中应用程序注册的清单。
在清单中我改变了
"groupMembershipClaims": "SecurityGroup"
到
"groupMembershipClaims": "ApplicationGroup"
使用SecurityGroup
导致不一致的组声明数据返回到网站。通过使用ApplicationGroup
特定于应用程序的所有组声明被返回,从而解决了一些经过身份验证的用户无法访问站点的问题。
供参考...
编辑:
另一个很好的参考是这个 StackOverflow 问题......
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句