汎用認証サイトのファーストステップガイド (3) のバックアップ(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 汎用認証サイトのファーストステップガイド (3) へ行く。
  • 1 (2017-05-22 (月) 11:15:56)
  • 2 (2017-05-23 (火) 18:19:32)
  • 3 (2017-05-24 (水) 18:05:02)
  • 4 (2017-05-25 (木) 16:14:34)
  • 5 (2017-05-25 (木) 20:15:23)
  • 6 (2017-05-26 (金) 13:12:58)
  • 7 (2017-06-01 (木) 14:57:43)
  • 8 (2017-06-14 (水) 09:08:43)
  • 9 (2017-06-22 (木) 09:33:16)
  • 10 (2017-06-29 (木) 23:49:08)
  • 11 (2017-07-18 (火) 10:46:02)
  • 12 (2017-08-17 (木) 13:39:43)
  • 13 (2017-09-15 (金) 13:49:56)
  • 14 (2017-10-24 (火) 17:45:44)
  • 15 (2017-10-25 (水) 16:02:40)

---

「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • 汎用認証サイトのファーストステップガイド (1)
  • 汎用認証サイトのファーストステップガイド (2)
  • 汎用認証サイトのファーストステップガイド (3)

目次 †

概要 †

汎用認証サイト（Multi-purpose Authentication Site）
の導入前の評価を行うためのファーストステップガイド。

(12) オプションを変更してテストする †

UserName?＝メアド以外 †

app.configファイルを設定する。 †

https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/app.config#L121

• RequireUniqueEmail? : false

サインアップ・サインインを確認する。 †

メアド以外のUserName?でサインアップ・サインインできることを確認する。

E-mailアドレスを登録する。 †

サインインした後、ヘッダに表示されている「こんにちは[メールアドレス]さん！」をクリックし、アカウント編集画面へ遷移する。

このオプションを設定した場合、[E-mailの設定]リンクが表示され、これからE-mailアドレスを登録可能。

この際、カスタムのE-mailアドレスの確認（E-mail confirmation）プロセスが実行される。

アカウント管理画面から追加・更新する。 †

アカウント管理画面からUserName?＝メアド以外のユーザーを追加・更新できることを確認する。

• UserName?＝メアド以外で、ユーザーを追加
  

• UserName?＝メアド以外で、ユーザーを更新
  

• UserName?＝メアド以外のユーザーが追加・更新されたことを確認する。
  

その他のテストケースを確認する。 †

• 汎用認証サイトの独自仕様#gbd5af06
• 汎用認証サイトの動作検証#tb024b60

マルチテナント †

• マルチテナントである場合と、ない場合とで、アカウント・ロールの管理画面での動作が異なる。
• アカウント・ロールの管理画面には、権限のあるアカウントでアクセスする必要がある。

app.configファイルを設定する。 †

https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/app.config#L91

• Multi-tenant : true (マルチテナントの場合)
• Multi-tenant : false (マルチテナントでない場合)

マルチテナントの場合 †

• サインアップしたユーザがテナント管理者になる。
• テナント管理者のみアカウント・ロールの管理画面にアクセスできる。
• 後のユーザのアカウントは、テナント管理者が登録する。

• 管理画面で可能な操作。
  • ユーザ管理画面
    • 自分のテナントのユーザのみ管理（CRUD）可能。

• ロール管理画面
  • システム共通のロールを参照可能。
  • 自分のテナントのロールを管理（CRUD）可能。

マルチテナントでない場合 †

• システム管理者のみアカウント・ロールの管理画面にアクセスできる。

• 管理画面で可能な操作。
  • ユーザ管理画面
    全ユーザの管理（CRUD）が可能。

• ロール管理画面
  全ロールの管理（CRUD）が可能。

(13) OAuth2の3分割テストを行う。 †

汎用認証サイトをOAuth2で登場する3つのサーバー機能に分割して動作検証をする。

• Authorization Server
• Resource Server
• Client

サイトを3分割する。 †

以下のような感じで、サイトを3分割する。

・MultiPurposeAuthSiteフォルダ
  ├ CreateClientsIdentityフォルダ
  ├ packagesフォルダ
  ├ MultiPurposeAuthSiteフォルダ
  ├ MultiPurposeAuthSiteRフォルダ
  ├ MultiPurposeAuthSiteCフォルダ
  ├ MultiPurposeAuthSite.slnファイル
  ├ MultiPurposeAuthSiteR.slnファイル
  └ MultiPurposeAuthSiteC.slnファイル

MultiPurposeAuthSite?フォルダを3分割する。 †

• 以下のフォルダをコピーして複製し、
  • C:\MultiPurposeAuthSite?\root\programs\MultiPurposeAuthSite?\MultiPurposeAuthSite?

• 以下のようにリネームする。

• MultiPurposeAuthSite?
  Authorization Serverの役割

• MultiPurposeAuthSiteR
  Resource Serverの役割なので末尾に「R」を付与。

• MultiPurposeAuthSiteC
  Clientの役割なので末尾に「C」を付与。

MultiPurposeAuthSite?.slnファイルを3分割する。 †

• 以下のファイルをコピーして複製し、
  C:\MultiPurposeAuthSite?\root\programs\MultiPurposeAuthSite?\MultiPurposeAuthSite?.sln

• 以下のようにリネームする。
  • MultiPurposeAuthSite?.sln
  • MultiPurposeAuthSiteR.sln
  • MultiPurposeAuthSiteC.sln

• それぞれ*.slnファイルをTextEditor?などで開いて、
  内部で指しているMultiPurposeAuthSite?.csprojへのパスを変更する。

MultiPurposeAuthSite?.csprojのポート番号を変更する。 †

3サイト同時起動のためMultiPurposeAuthSite?.csprojのポート番号を変更する。

• 以下のファイルのポート番号部分と重複しないようにする。
  • .\MultiPurposeAuthSite?\MultiPurposeAuthSite?.csproj

    <IISUrl>http://localhost:63359/MultiPurposeAuthSite/</IISUrl>

• ここでは、それぞれ、以下のようにポート番号を変更した。
  • .\MultiPurposeAuthSiteR\MultiPurposeAuthSite?.csproj

    <IISUrl>http://localhost:9998/MultiPurposeAuthSite/</IISUrl>

  • .\MultiPurposeAuthSiteC\MultiPurposeAuthSite?.csproj

    <IISUrl>http://localhost:9999/MultiPurposeAuthSite/</IISUrl>

それぞれのapp.config設定を行う。 †

以下のファイルの設定を変更する。
C:\MultiPurposeAuthSite?\root\programs\MultiPurposeAuthSite?\MultiPurposeAuthSite?\app.config

ユーザストアをDBMSストアに変更する。 †

コチラを参考にして、ユーザストアをDBMSストアに変更する。

ResourceServer?エンドポイントの設定 †

https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/app.config#L193

• 以下の設定を、

  <add key="OAuthResourceServerEndpointsRootURI" value="http://localhost:63359/MultiPurposeAuthSite" />

• のように変更する。

  <add key="OAuthResourceServerEndpointsRootURI" value="http://localhost:9998/MultiPurposeAuthSite" />

Clientエンドポイントの設定 †

https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/app.config#L200

• 以下の設定を、

  <add key="OAuthClientEndpointsRootURI" value="http://localhost:63359/MultiPurposeAuthSite" />

• のように変更する。

  <add key="OAuthClientEndpointsRootURI" value="http://localhost:9999/MultiPurposeAuthSite" />

設定したapp.configを複製する。 †

• 設定したapp.configを

• C:\MultiPurposeAuthSite?\root\programs\MultiPurposeAuthSite?\MultiPurposeAuthSite?\app.config

• 以下の場所に複製します。

• C:\MultiPurposeAuthSite?\root\programs\MultiPurposeAuthSiteR\MultiPurposeAuthSite?\app.config

• C:\MultiPurposeAuthSite?\root\programs\MultiPurposeAuthSiteC\MultiPurposeAuthSite?\app.config

3つのサイトをデバッグ実行をする。 †

3つのサイトを*.slnファイルから開いてデバッグ実行をする。

*.slnファイルからWebサイトを開く †

• Authorization Serverの役割
  C:\MultiPurposeAuthSite??\root\programs\MultiPurposeAuthSite?.sln

• Resource Serverの役割
  C:\MultiPurposeAuthSite??\root\programs\MultiPurposeAuthSiteR.sln

• Clientの役割
  C:\MultiPurposeAuthSite??\root\programs\MultiPurposeAuthSiteC.sln

それぞれ、F5を押下してデバッグ実行を開始する。 †

• Authorization Serverの役割
  http://localhost:63359/MultiPurposeAuthSite/

• Resource Serverの役割
  http://localhost:9998/MultiPurposeAuthSite/

• Clientの役割
  http://localhost:9999/MultiPurposeAuthSite/

Clientから、Authorization Codeグラント種別をテストする。 †

• 以下のURLからClientにアクセスする。
  http://localhost:9999/MultiPurposeAuthSite/

• ここで、[Authorization Codeグラント(client_id, response_type, scope, state)]リンクを押下する。

• すると、Authorization Serverのサインイン画面に遷移するのでログインを行う。

• サインイン後、Authorization Serverの[リソース・アクセスの認可]画面に遷移するので、権限付与の認可を行う。

• すると、Clientに戻ってきて、ここでCodeがBearer Tokenに変換される。

• そして、ClientのOAuthAuthorizationCodeGrantClient?（テスト用）画面が表示される。

• ここで、[GetUserClaim?]ボタンを押下すると、ClientからResource ServerにWebAPI呼出が行われ結果が返る。

処理フローの説明 †

(1) スターターの位置 †

ClientからAuthorization Serverへ遷移。

• Code:https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Views/Home/Index.cshtml#L72
• URL : http://localhost:63359/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=・・・

(2) スターターの飛び先 †

Authorization Serverでは、以下のルートで、[リソース・アクセスの認可]画面を表示。

• ApplicationOAuthBearerTokenProvider?.ValidateClientRedirectUri?を経由して、
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Models/ASPNETIdentity/TokenProviders/ApplicationOAuthBearerTokenProvider.cs#L79

• GET: /Account/OAuthAuthorize?のaction methodに遷移する。
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/AccountController.cs#L1124

• これによって、[リソース・アクセスの認可]画面 = OAuthAuthorize?.cshtmlが表示される。
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Views/Account/OAuthAuthorize.cshtml

(3) 権限付与の認可を行う。 †

Authorization Serverの[リソース・アクセスの認可]画面でポストバックすると、ClientのRedirectエンドポイントへRedirectされる。

• POST: /Account/OAuthAuthorize?のaction methodに遷移する。
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/AccountController.cs#L1182

• 上記の処理の完了後、ClientのRedirectエンドポイントへRedirectされる。
  http://localhost:9999/MultiPurposeAuthSite/Account/OAuthAuthorizationCodeGrantClient?code=code値&state=state値

(4) Bearer Tokenを取得する。 †

ClientのRedirectエンドポイントでBearer Tokenを取得してResourcesにアクセスする。

• GET: /Account/OAuthAuthorizationCodeGrantClient?のaction methodに遷移する。
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/AccountController.cs#L1243

• ここで、仲介コードを使用してTokenエンドポイントにアクセスする。

• すると、ApplicationOAuthBearerTokenProvider?.ValidateClientAuthentication?を経由して、
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Models/ASPNETIdentity/TokenProviders/ApplicationOAuthBearerTokenProvider.cs#L132

• Access Token・Refresh Tokenのレスポンスが返る。

(5) 以下はテスト用の処理フロー †

通常、仲介コードやAccess Token・Refresh Tokenは露見させないが、
ここではテスト用に、[Authorization Code Grant]画面にこれらを表示する。

• [Authorization Code Grant]画面 = OAuthAuthorizationCodeGrantClient?.cshtmlが表示される。
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Views/Account/OAuthAuthorizationCodeGrantClient.cshtml

その後、以下のRefresh処理、Get user claim処理を実行することができる。

• Refreshボタンを押下
  • POST: /Account/OAuthAuthorizationCodeGrantClient?のaction methodに遷移する。
    https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/AccountController.cs#L1317
  • Tokenエンドポイントで、Refresh Tokenを使用してAccess Tokenを更新
    GET: /OAuthBearerToken?

• Get user claimボタンを押下
  • POST: /Account/OAuthAuthorizationCodeGrantClient?のaction methodに遷移する。
    https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/AccountController.cs#L1317

• ClientからResource ServerにWebAPI呼出が行われ結果が返る。
  なお、認可処理は、WebAPI内部でscopeを確認して行う。

• 認証 : AccessTokenFormatJwt?.Unprotect
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Models/ASPNETIdentity/TokenProviders/AccessTokenFormatJwt.cs#L163

• WebAPI : OAuthResourceApiController?.GetUserClaim?
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/OAuthResourceApiController.cs#L105

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.051 sec.