ASP.NET Identityの外部ログイン

NuGet Gallery | Microsoft.Owin.Security.MicrosoftAccount? 3.0.1
https://www.nuget.org/packages/Microsoft.Owin.Security.MicrosoftAccount/
- Microsoftは「support the Microsoft Account authentication workflow」とプロトコルを明言していない。
- 2019年、久々試したら、AADSTS70011: で wl.basic, wl.emails がdisconの旨。このscope外せば取り敢えず動作した。

設定

ASP.NET Identity を使って Microsoft アカウントで認証する
http://kendik.hatenablog.com/entry/2014/08/25/020152

↑

Google アカウント †

ライブラリ

NuGet Gallery | Microsoft.Owin.Security.Google 3.0.1
https://www.nuget.org/packages/Microsoft.Owin.Security.Google/
- 今の所、OAuth 2.0を使用しているもよう。
- と思いきや、NuGetのサイトの表示がメンテナンスされていないだけっぽい。
- この辺を見ると、現在は、OIDCを使用しているらしい。

設定

ASP.NET MVC 5 で OAuth 2.0 を使用して Google 認証を行う方法: ある SE のつぶやき
http://fnya.cocolog-nifty.com/blog/2014/03/aspnet-mvc-5-oa.html

GoogleのOAuth2.0を使ってプロフィールを取得【PHP】 - FaMirror? Project
http://famirror.hateblo.jp/entry/2015/12/18/180000

サマリ
- Google Developers Consolにプロジェクトを作成する。
- 認証情報タブ ---> OAuth クライアント ID を作成する。
- 認証情報タブ ---> OAuth 同意画面を入力して保存する。
  （注：redirect_uriの末尾は、使用するライブラリによって異なる。）
- ライブラリ・タブ → Social API → Google+ APIを有効にする。

↑

Facebook アカウント †

ライブラリ

NuGet Gallery | Microsoft.Owin.Security.Facebook 3.0.1
https://www.nuget.org/packages/Microsoft.Owin.Security.Facebook/
今の所、OAuth 2.0を使用しているもよう。

設定

・・・

変更

ASP.NET MVC5 OWIN Facebook authentication suddenly not working - Stack Overflow
http://stackoverflow.com/questions/22364442/asp-net-mvc5-owin-facebook-authentication-suddenly-not-working
- [Announcement] Facebook 3.0.1 and lower no longer work · Issue #38 · aspnet/AspNetKatana?
  https://github.com/aspnet/AspNetKatana/issues/38
- NuGet Gallery | Microsoft.Owin.Security.Facebook 3.1.0
  https://www.nuget.org/packages/Microsoft.Owin.Security.Facebook/

↑

Twitter アカウント †

ライブラリ

NuGet Gallery | Microsoft.Owin.Security.Twitter 3.0.1
https://www.nuget.org/packages/Microsoft.Owin.Security.Twitter/

NuGet上の説明では、OAuth 2.0を使用しているもよう。
しかし、コチラの情報では、OAuth 1.0aらしいが・・・？
HTTPをサポートしないのも、OAuth 1.0aだから。と考えると辻褄が合うのだが。

設定

ASP.NET MVC 5 で Twitter 認証を行う方法: ある SE のつぶやき
http://fnya.cocolog-nifty.com/blog/2014/03/aspnet-mvc-5-tw.html

↑

Apple ID †

最近、Sign in with Appleがリリースされたが、NuGet上にライブラリは、まだ確認できない。
iOS上でのNative SDKが本丸なので、Webから外部ログインするためのIdPとしては、あまり使用されないかも。

↑

その他のライブラリ †

↑

OAuth用ライブラリ †

Microsoft.Web.WebPages?.OAuth.OAuthWebSecurity? クラスには、
各サービスに応じて、アカウント認証を行うためのメソッドが用意されている。

項番	メソッド	処理内容
１	RegisterFacebookClient?	Facebook アカウントによる認証
２	RegisterGoogleClient?	Google アカウントによる認証
３	RegisterLinkedInClient?	LinkedIn? アカウントによる認証
４	RegisterMicrosoftClient?	Microsoft アカウントによる認証
５	RegisterTwitterClient?	Twitter アカウントによる認証
６	RegisterYahooClient?	Yahoo アカウントによる認証

Using OAuth Providers with MVC 4 | The ASP.NET Site
https://www.asp.net/mvc/overview/older-versions/using-oauth-providers-with-mvc

↑

OpenID Connect用ライブラリ †

Microsoft.Owin.Security.OpenIdConnect?では、
Azure Active Directoryとの、OpenID Connect使用した認証連携がサポートされている模様。

OWIN security components in ASP.NET: OpenID Connect! | .NET Web Development and Tools Blog
https://blogs.msdn.microsoft.com/webdev/2014/03/28/owin-security-components-in-asp-net-openid-connect/

IdM実験室
- [AAD/ASP.NET] OpenID Connectを使ってAADでログオンする
  http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaad.html
- （続）response_mode=fragment編
  http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaadresponsemode.html

Googleへのログインは現時点（2016年）ではサポートされていない模様。

asp.net - OpenIdConnect? Owin login with google - Stack Overflow
http://stackoverflow.com/questions/25423898/openidconnect-owin-login-with-google

↑

WS-Federation, SAML用ライブラリ †

WIFの名前空間は、Microsoft.IdentityModel?.Claimsと、
OWINミドルウェア（Microsoft.Owin）と異なるため、ASP.NET Identityとの連携具合が不明（多分連携していない）。

方法: WIF を使用してクレーム対応 ASP.NET MVC Web アプリケーションをビルドする
https://msdn.microsoft.com/ja-jp/library/hh291061.aspx

↑

ASP.NET Core用ライブラリ †

ASP.NET Coreの情報は以下に、纏まっている。

https://docs.microsoft.com/ja-jp/aspnet/core/security/authentication/social/

※ こちらも、Owin.Security同様に、MS製（Microsoft.AspNetCore?.Authentication）。

↑

参考 †

連載：Microsoft技術におけるアイデンティティ連携開発のいま - Build Insider
http://www.buildinsider.net/web/msidentitydev
- .NETで使えるアイデンティティ連携のためのライブラリまとめ（前・後編）
  - http://www.buildinsider.net/web/msidentitydev/01
  - http://www.buildinsider.net/web/msidentitydev/02
- カスタム・アプリケーションによる認証フローとプログラミング
  http://www.buildinsider.net/web/msidentitydev/03

↑

実装 †

以下の手順に従い、実装できる。

Code! MVC 5 App with Facebook, Twitter, LinkedIn? and Google OAuth2 Sign-on (C#) | The ASP.NET Site
https://www.asp.net/mvc/overview/security/create-an-aspnet-mvc-5-app-with-facebook-and-google-oauth2-and-openid-sign-on

↑

開始 †

外部ログインは、HttpUnauthorizedResultのActionResult?を返すことで開始する。通常、redirect_uriは指定しない。

↑

ハマり所 †

↑

localhost †

Microsoft アカウントでは、localhostも登録できるようになっている。
しかし、Twitterではlocalhostが登録できないことを確認した。

従って、localhostを使用できないログイン・プロバイダを使用する場合、
URL, hosts, applicationhost.configの設定が必要になる。

IIS Express で仮想サイトに複数のホスト名を割り当てる - しばやん雑記
http://blog.shibayan.jp/entry/20130306/1362572283

なお、applicationhost.configの位置が、VS2015から変わっているので注意が必要。

IIS Expressでlocalhost以外のアドレスでアクセスする方法 - なか日記
http://blog.nakajix.jp/entry/2014/09/19/022536

↑

企業プロキシ環境 †

企業プロキシ環境下で外部サービスに接続
プロキシ環境下で外部サービスに接続する場合、以下の実装・設定を行う必要がある。
- ASP.NET Identity - プロキシ環境下で外部サービスによるユーザ認証を行う
  http://ichiroku11.hatenablog.jp/entry/2014/04/09/224050
- この設定を行うと、下記の「ClientのWebアプリ」からのWebアクセスは、
  企業プロキシ経由でインターネットにルーティングされるようになる。

企業プロキシのフィルタリング
- どこから、どこに、アクセスしようとしているかを確認する必要がある。
  OAuthに詳しくなると、以下にアクセスしていることが解るようになる。
  - User AgentからClientのWebアプリ（自分の開発中のWebアプリ）
  - User AgentからAuthorization ServerのWebアプリ（サービス側のWebアプリ）
  - ClientのWebアプリからAuthorization ServerのWebアプリ
  - ClientのWebアプリからResource ServerのWebAPI
  - User AgentからResource ServerのWebAPI

例えば、Googleアカウントでは、下記をフィルタ解除しているだけでは認証がうまく通らなかった。
（恐らく仲介コードを使用し、Access TokenやClaimを取得
するための各エンドポイントのURLが異なるのだと思われる。）
- https://www.google.com/
従って、切り分けのために、企業プロキシの外からテストすることも重要になる。

↑

サービス側の仕様 †

サービス側の

仕様が不明確なことや、
仕様の変更が多いことろがあり、

トラブる事が多い。

↑

不明確 †

プロトコルも不定で、例えばOAuth 2.0の場合、詳しい仕様は記載されていないので必要に応じて分析が必要になる。

↑

変更 †

以下のように、インターフェイスの変更が多数あったことが報告されている。

Using Google and LinkedIn? Accounts for Your .net MVC 5 Site’s Authentication:
Tips and Tricks and the error externalLoginCallback??error=access_denied | C# is all around, by Riccardo Moschetti
https://riccardo-moschetti.org/2014/08/25/using-google-accounts-for-your-net-mvc-5-sites-authentication-tips-and-tricks-and-the-error-externallogincallbackerroraccess_denied/

また、過去GoogleのOpenIDの外部ログイン・プロバイダが存在しており、最近OAuthに置き換えられたことを考えると、
将来的には、OAuthが、OpenID Connectに置き換えられる。などと言った可能性はある。

ASP.NET MVC 5 で OpenID を使用して Google 認証を行う方法: ある SE のつぶやき
http://fnya.cocolog-nifty.com/blog/2014/03/aspnet-mvc-5-op.html
- サイトにパスワードを保存する必要なし ― Microsoft、Google等がユーザー認証の新規格、OpenID Connectをサポート | TechCrunch? Japan
  http://jp.techcrunch.com/2014/02/27/20140226openid-foundation-launches-openid-connect-identity-protocol-with-support-from-google-microsoft-others/

↑

テンプレート実装の課題 †

ほぼ、AccountController?.ExternalLoginCallback?周辺で完結する。

↑

E-mailアドレス †

外部ログインをしても、既定でE-mailアドレスは取得できないので
プロジェクト・テンプレートも、既定でE-mailアドレスを自分で手入力するという仕様で実装されている。

これでは、あまり外部ログインの意味が無いので（E-mailアドレスの再入力が必要になる）、
検証済みのE-mailアドレスを取得できるように、連携先に、E-mailアドレスを要求するように設定する。

c# - Get E-mail of User Authenticated with Microsoft Account in ASP.NET Identity - Stack Overflow
http://stackoverflow.com/questions/22229593/get-e-mail-of-user-authenticated-with-microsoft-account-in-asp-net-identity

twitterのoauthを使ってみる（emailも取得） - Qiita
http://qiita.com/kite_999/items/e0ab8c52f918bbb02cfd

これにより、連携先から、検証済みのE-mailアドレスを取得できるようになるため、
この、E-mailアドレスを使用して、ユーザ登録し、外部ログインを追加れば整合性が取れる。

しかし、この状態で、E-mail Confirmationを実装していると矛盾が生じる。

↑

Claimの保存 †

既定ではClaimの保存処理は実装されていないので自分で実装する必要がある。

await UserManager.AddClaimAsync(user.Id, claim);

参考：
- ASP.NET Identity : External Login カスタマイズ (claim, scope, access token などの活用) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2014/06/15/asp-net-identity-external-login-claim-scope-access-token/

↑

管理画面の外部ログインの削除の意味 †

ExternalLoginCallback?の条件分岐で、
外部ログインが有る時・無い時で動きが違う。

外部ログインは、アカウントに追加される。

アカウントが作成されていない場合は、
- サインアップ（アカウントの作成）から行なう。
- その後、アカウントに外部ログイン追加してサインインする。

アカウントが作成されてる場合は、外部ログインをチェックする。
- 外部ログインが存在しない場合は、外部ログイン追加してサインインする。
- 外部ログインが存在する場合は、外部ログイン追加しないでサインインする。

別のログイン手段を持たない場合は、
外部ログインを削除できない仕様である模様（確認済）。

最初にサインアップしてあれば、外部ログインを削除できる。
2つ以上の外部ログインがあれば、外部ログインを削除できる。

最初に外部ログインした場合、サインアップできなくなる問題がある。
- この場合、ローカル・サインインできなくなる。
- パスワード・リセットすれば、ローカル・サインインできるようになる。
- これでローカル・サインインができるようになれば、外部ログインを削除できる。

↑

外部ログインが失敗する †

外部ログインが失敗することがあるらしい。

ASP.NET IdentityのSNS対応ではまったポイント | 眠るシーラカンスと水底のプログラマー
http://coelacanth.jp.net/asp-net-identity%E3%81%AEsns%E5%AF%BE%E5%BF%9C%E3%81%A7%E3%81%AF%E3%81%BE%E3%81%A3%E3%81%9F%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88/

ASP.NET Identity : External Login カスタマイズ (claim, scope, access token などの活用) – Tsmatz
https://blogs.msdn.microsoft.com/tsmatsuz/2014/06/15/asp-net-identity-external-login-claim-scope-access-token/
asp.net mvc - MVC 5 Owin Facebook Auth results in Null Reference Exception - Stack Overflow
http://stackoverflow.com/questions/19564479/mvc-5-owin-facebook-auth-results-in-null-reference-exception

↑

参考 †

↑

Tsmatz †

ASP.NET Identity : External Login カスタマイズ (claim, scope, access token などの活用) – Tsmatz
https://blogs.msdn.microsoft.com/tsmatsuz/2014/06/15/asp-net-identity-external-login-claim-scope-access-token/

↑

ASP.NET Core Identity の外部ログイン †

Tags: :.NET開発, :ASP.NET, :ASP.NET MVC, :ASP.NET SPA, ASP.NET Web API, :ASP.NET Identity, :OAuth, :認証基盤, :セキュリティ

最新の70件

目次 †

概要 †

プロバイダのプロトコル †

OAuth †

OpenID Connect †

OpenID †

WS-Federation, SAML †

ライブラリ †

Owin.Securityライブラリ †

Microsoft アカウント †

Google アカウント †

Facebook アカウント †

Twitter アカウント †

Apple ID †

その他のライブラリ †

OAuth用ライブラリ †

OpenID Connect用ライブラリ †

WS-Federation, SAML用ライブラリ †

ASP.NET Core用ライブラリ †

参考 †

実装 †

開始 †

ハマり所 †

localhost †

企業プロキシ環境 †

サービス側の仕様 †

不明確 †

変更 †

テンプレート実装の課題 †

E-mailアドレス †

Claimの保存 †

管理画面の外部ログインの削除の意味 †

外部ログインが失敗する †

参考 †

Tsmatz †

ASP.NET Core Identity の 外部ログイン †

ASP.NET Core Identity の外部ログイン †