molteplici reclami associati a base di provider di identità di un utente con ASP.NET

Question

In 4 applicazione ASP.NET MVC utilizzando il framework .NET 4.5 in combinazione con Azure servizio di controllo di accesso (ACS), voglio fornire agli utenti molteplici possibilità di autenticazione (cioè Google, Facebook, Windows Live, ecc.). Qual è la "migliore pratica" per associare un singolo utente a più provider di identità?

Per esempio, dicono che l'utente accede con Google un giorno, poi passa a un altro browser il giorno successivo e registra con Facebook. Come faccio a sapere di associare il login di Facebook con il precedente accesso Google allo stesso utente?

Answer 1

Se si utilizza ACS, è possibile tradurre le informazioni da ciascun IdP (ad esempio, Gogle, Yahoo !, FB, ecc.) In un handle comune utilizzando la trasformazione delle attestazioni in ACS. Un uso comune delle persone è l'e-mail degli utenti. Ma se si desidera accettare molte e-mail di mappatura per lo stesso utente, allora si sarebbe introdurre il proprio ID univoco (come un credito) e mappare IdP fornito affermazioni in esso:

• myemail@gmail.com (e-mail - Google) -> (UserId - YourApp) user_1234
• myotheremail@yahoo.com (email - Yahoo!) -> (UserId - YourApp) user_1234
• 64746374613847349 (NameIdentifier - LiveID) -> (UserId - YourApp) user_1234

È possibile automatizzare questo attraverso ACS API. Probabilmente dovresti anche gestire la prima volta che l'utente accede al tuo sito (ad esempio chiedendo all'utente di inviare un'e-mail e inviando un messaggio di conferma che attiverà la mappatura).

Presumibilmente, si stanno utilizzando queste informazioni per recuperare i dati da un database locale nella propria app, altrimenti, si potrebbe semplicemente codificare tutto nelle attestazioni e non preoccuparsi di eventuali equivalenze. I reclami sono spesso un buon posto per codificare i dati del profilo comune. (ad esempio, ruoli, ecc.)

Answer 2

Non cercate oltre a StackOverflow stesso per un buon esempio di questo. Fai clic sul tuo profilo utente e seleziona "I miei accessi".

Quando un utente crea il proprio account, seleziona il provider di identità che si desidera utilizzare per accedere. Sotto il cofano, l'applicazione crea un nuovo ID utente univoco specifico del sito e lo collega a un ID univoco fornito da terze parti . (È possibile utilizzare l'e-mail, ma la maggior parte dei provider di identità fornirà anche un ID utente univoco che non cambia, anche se l'utente cambia la propria e-mail)

Ora, dopo che l'utente ha effettuato l'accesso, ha una gestione dell'account pannello di controllo attraverso il quale possono stabilire collegamenti aggiuntivi con altri fornitori di identità.

vedo due opzioni per il raggiungimento di questo:

1. avere la vostra applicazione MVC persistere link di account. Quando un utente effettua l'accesso, esegui una query sul tuo negozio di link dell'account utilizzando la richiesta di ID univoco di terze parti e risolvi l'ID utente univoco specifico del sito.

2. Utilizzare il motore di regole di ACS. Dovresti creare un collegamento per regola per account. Ad esempio, consente di dire che posso accedere sia con Gmail o LiveID e la mia ID univoco è 1234. Due regole simile a questa:

   • google + me@gmail.com - ID> utente uscita pretesa 1234

   • LiveID + me@live.com -> utente uscita ID pretesa 1234

Per l'unico tipo di output pretesa ID, si può scegliere tra i tipi di attestazioni disponibili o designa il proprio. ACS ha un numero OData based management service che puoi utilizzare per creare queste regole a livello di codice dall'applicazione MVC. Ecco uno code sample.