前回AD認証の仕組みを作ったので、アクセス制御してみます。
この辺はASP.NET Identityの話でADだろうが外部認証だろうがおなじです。
アクセス制御するには各コントローラクラスやメソッドに対してAuthorize属性を設定する方法が基本みたいですが、めんどくさいです。
Webアプリ系のサイトなんて全ページ要認証が基本だと思うんです。
てことで、まず、すべてのアクセスに対して要認証として、必要に応じて匿名アクセス可にします。
すべてのアクセスに対して要認証にする
要認証にするにはこちらを参考にAuthorizeAttribute フィルターをグローバル フィルター リストに追加します。
/App_Start/FilterConfig.cs
1
2
3
4
|
public static void RegisterGlobalFilters(GlobalFilterCollection filters) {
filters.Add(new AuthorizeAttribute());
filters.Add(new HandleErrorAttribute());
}
|
これだけ。この辺がASP.NET Identityに準拠する利点だと思われます。
このフィルタは(場合によるとは思いますが)基本的には一番最初に登録するといいかと思います。
部分的に匿名アクセス許可する
ウエルカムページや、ログインページは匿名でもアクセスさせたいので、AllowAnonymous属性をつけます。
Controllers\AccountController.cs
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
//
// GET: /Account/Login
[AllowAnonymous]
public ActionResult Login(string returnUrl)
{
ViewBag.ReturnUrl = returnUrl;
return View();
}
//
// POST: /Account/Login
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
|
特定のADグループにアクセス許可する
いわゆるRoleで制御です。
1
2
|
[Authorize(Roles = "ADGroup1,ADGroup2")]
public class OreOreController : Controller
|
的な記述で、アクセス制限をかけます。そのためにはASP.NET IdentityにRole情報を提供してやらないといけないんで、
ApplicationUserStoreにIUserRoleStoreを実装します。
\Models\IdentityModels.cs
先に、プライベートだったApplicationUserのmADUserを公開ます。
1
2
3
4
5
|
public UserPrincipal ADuser {
get {
return mADUser;
}
}
|
IUserRoleStoreをこんな感じに実装。Addとかはできないことにしてます。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
public class ApplicationUserStore : IUserStore<ApplicationUser>, IUserRoleStore<ApplicationUser>
{
........
#region IUserRoleStore<ApplicationUser,string> Members
public Task AddToRoleAsync(ApplicationUser user, string roleName) {
throw new System.NotImplementedException();
}
private void AddGroupsRecursive(IList<string> aResult,Principal aPrincipal) {
PrincipalSearchResult<Principal> groups = aPrincipal.GetGroups();
foreach (var group in groups) {
if (!aResult.Contains(group.SamAccountName)) {
aResult.Add(group.SamAccountName);
this.AddGroupsRecursive(aResult, group); //get sub group
}
}
}
public Task<IList<string>> GetRolesAsync(ApplicationUser user) {
IList<string> result = new List<string>();
AddGroupsRecursive(result, user.ADuser);
return Task.FromResult<IList<string>>(result);
}
public Task<bool> IsInRoleAsync(ApplicationUser user, string roleName) {
UserPrincipal aduser = user.ADuser;
var group=GroupPrincipal.FindByIdentity(_context,roleName);
return Task.FromResult<bool>(aduser.IsMemberOf(group));
}
public Task RemoveFromRoleAsync(ApplicationUser user, string roleName) {
throw new System.NotImplementedException();
}
#endregion
}
|
グループは再帰的に取得する必要があります。最初UserPrincipalのGetAuthorizationGroupsってメソッドが使えるかと思ったんですが、「グループの列挙中にエラー (1301) が発生しました。グループの SID を解決できませんでした。」となって動きませんでした。仕方がないんで再帰的にグループを持ってくるところは自作(AddGroupsRecursive)。遅いです。なんかいい方法ありませんかね?
web.configでrole指定
Authorize(Roles = “ADGroup1,ADGroup2”) だと、グループ名がハードコードされてしまうので、なんか変更があった時に再コンパイルが必要になり、運用上よろしくありません。
web.configで指定できるようにしときたいです。
てことでAuthorizeAttributeを拡張してConfiguredAuthorizeAttributeを作ります。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
public class ConfiguredAuthorizeAttribute : AuthorizeAttribute
{
//Named params
/// <summary>
/// config key names for roles
/// </summary>
public string RoleKeys { get; set; }
/// <summary>
/// config key names for users
/// </summary>
public string UserKeys { get; set; }
private bool mIsExtended = false; // Roles and Users has been extended
public override void OnAuthorization(AuthorizationContext filterContext) {
if (!mIsExtended) {
// get config values
var config_values = (NameValueCollection)ConfigurationManager.GetSection("ConfiguredAuthorize");
// role
if (!string.IsNullOrEmpty(this.RoleKeys)) {
this.Roles = this.MakeParamString(config_values, this.RoleKeys, this.Roles);
}
// user
if (!string.IsNullOrEmpty(this.UserKeys)) {
this.Users = this.MakeParamString(config_values, this.UserKeys, this.Users);
}
mIsExtended = true;
}
base.OnAuthorization(filterContext);
}
private string MakeParamString(NameValueCollection aConfigValues, string aKeys, string aBaseValue) {
var keys = aKeys.Split(',').Select(k => k.Trim()).ToArray();
var result = "";
var joint = "";
if (!string.IsNullOrEmpty(aBaseValue)) {
joint = ",";
}
foreach (var key in keys) {
if (aConfigValues[key] != null) {
result += joint + aConfigValues[key];
joint = ",";
}
}
result = aBaseValue + result;
return result;
}
}
|
肝はOnAuthorizationのオーバーライド部分。
やってることは簡単で、ベースのOnAuthorizationの直前にweb.configから読み込んだ設定をRoles とUsers に追記してるだけ。
web.config
web.configにConfiguredAuthorizeセクションの定義と、値を設定します。
セクション名は”ConfiguredAuthorize”固定にしました。(面倒だから)
1
2
3
4
5
6
7
8
9
10
11
|
<configuration>
<configSections>
<section name="ConfiguredAuthorize" type="System.Configuration.NameValueSectionHandler"/>
</configSections>
....
<ConfiguredAuthorize>
<add key="AdminADGroups" value="ADGroup1,ADGroup2" />
<add key="AdminADUsers" value="ADUser1,ADUser2" />
</ConfiguredAuthorize>
....
<configuration>
|
Controller
そしたらControllerの属性を書き換えます。
こんな感じ。
1
2
|
[ConfiguredAuthorize(RoleKeys = "AdminADGroups", UserKeys = "AdminADUsers")]
public class OreOreController : Controller
|
これで、再コンパイル無しでWeb.configを書き換えれば権限を差し替えられます。
いちおう動いてますが、デバッグ不十分です。
権限関係のコードを自分で書くのって非常に不安な上に、車輪の再開発をしている気分になりますな。