ASP.NET Identityの外部ログインのバックアップ(No.9)

Open棟梁Project - マイクロソフト系技術情報 Wiki

戻る

目次 †

↑

概要 †

外部ログイン・プロバイダを使用して外部ログインを簡単に実装できるが、
（プロトコルを理解してライブラリを自作するより数段楽ではあるものの）
実際は、そんなに簡単ではなかったりする。

↑

プロバイダのプロトコル †

外部ログイン・プロバイダの使用するクレームベース認証は、
現時点では、OAuth（正確には、OAuth2.0）が主流である模様。

その他、OpenID Connectに対応したライブラリも拡充しつつある。

↑

ライブラリ †

↑

Owin.Securityライブラリ †

Owin.Security名前空間では、主要IdpのSTSに対応したライブラリが提供されてる。

プロトコルは不問で、プロトコル・レベルの変更などもある模様。
※ Microsoft.Owin.Security.Googleでは、過去にOpenIDからOAuth2.0への変更などがあった模様。

↑

Microsoft アカウント †

NuGet Gallery | Microsoft.Owin.Security.MicrosoftAccount? 3.0.1
https://www.nuget.org/packages/Microsoft.Owin.Security.MicrosoftAccount/
Microsoftは、「support the Microsoft Account authentication workflow」とプロトコルを明言していない。

ASP.NET Identity を使って Microsoft アカウントで認証する
http://kendik.hatenablog.com/entry/2014/08/25/020152

↑

Google アカウント †

NuGet Gallery | Microsoft.Owin.Security.Google 3.0.1
https://www.nuget.org/packages/Microsoft.Owin.Security.Google/
今の所、OAuth 2.0を使用しているもよう。

ASP.NET MVC 5 で OAuth 2.0 を使用して Google 認証を行う方法: ある SE のつぶやき
http://fnya.cocolog-nifty.com/blog/2014/03/aspnet-mvc-5-oa.html
- プロジェクトを作成（ちょうどGCPを使っていたのでそのプロジェクトを流用）
- 認証情報タブ→OAuth クライアント ID を作成する。
- 認証情報タブ→OAuth 同意画面を入力して保存
- ライブラリ・タブ→Social API→Google+ APIを有効にする。

↑

Facebook アカウント †

NuGet Gallery | Microsoft.Owin.Security.Facebook 3.0.1
https://www.nuget.org/packages/Microsoft.Owin.Security.Facebook/
今の所、OAuth 2.0を使用しているもよう。

↑

Twitter アカウント †

NuGet Gallery | Microsoft.Owin.Security.Twitter 3.0.1
https://www.nuget.org/packages/Microsoft.Owin.Security.Twitter/
今の所、OAuth 2.0を使用しているもよう。

ASP.NET MVC 5 で Twitter 認証を行う方法: ある SE のつぶやき
http://fnya.cocolog-nifty.com/blog/2014/03/aspnet-mvc-5-tw.html

↑

その他のライブラリ †

↑

OAuth用ライブラリ †

Microsoft.Web.WebPages?.OAuth.OAuthWebSecurity? クラスには、
各サービスに応じて、アカウント認証を行うためのメソッドが用意されている。

項番	メソッド	処理内容
１	RegisterFacebookClient?	Facebook アカウントによる認証
２	RegisterGoogleClient?	Google アカウントによる認証
３	RegisterLinkedInClient?	LinkedIn? アカウントによる認証
４	RegisterMicrosoftClient?	Microsoft アカウントによる認証
５	RegisterTwitterClient?	Twitter アカウントによる認証
６	RegisterYahooClient?	Yahoo アカウントによる認証

Using OAuth Providers with MVC 4 | The ASP.NET Site
https://www.asp.net/mvc/overview/older-versions/using-oauth-providers-with-mvc

↑

OpenID Connect用ライブラリ †

Microsoft.Owin.Security.OpenIdConnect?では、
Azure Active Directoryとの、OpenID Connect使用した認証連携がサポートされている模様。

OWIN security components in ASP.NET: OpenID Connect! | .NET Web Development and Tools Blog
https://blogs.msdn.microsoft.com/webdev/2014/03/28/owin-security-components-in-asp-net-openid-connect/

IdM実験室
- [AAD/ASP.NET] OpenID Connectを使ってAADでログオンする
  http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaad.html
- （続）response_mode=fragment編
  http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaadresponsemode.html

Googleへのログインは現時点（2016年）ではサポートされていない模様。

asp.net - OpenIdConnect? Owin login with google - Stack Overflow
http://stackoverflow.com/questions/25423898/openidconnect-owin-login-with-google

↑

参考 †

連載：Microsoft技術におけるアイデンティティ連携開発のいま - Build Insider
http://www.buildinsider.net/web/msidentitydev
- .NETで使えるアイデンティティ連携のためのライブラリまとめ（前・後編）
  - http://www.buildinsider.net/web/msidentitydev/01
  - http://www.buildinsider.net/web/msidentitydev/02

↑

実装 †

以下の手順に従い、実装できる。

Code! MVC 5 App with Facebook, Twitter, LinkedIn? and Google OAuth2 Sign-on (C#) | The ASP.NET Site
https://www.asp.net/mvc/overview/security/create-an-aspnet-mvc-5-app-with-facebook-and-google-oauth2-and-openid-sign-on

↑

ハマり所 †

↑

localhost †

Microsoft アカウントでは、localhostも登録できるようになっている。
しかし、Twitterではlocalhostが登録できないことを確認した。

従って、localhostを使用できないログイン・プロバイダを使用する場合、
URL, hosts, applicationhost.configの設定が必要になる。

IIS Express で仮想サイトに複数のホスト名を割り当てる - しばやん雑記
http://blog.shibayan.jp/entry/20130306/1362572283

なお、applicationhost.configの位置が、VS2015から変わっているので注意が必要。

IIS Expressでlocalhost以外のアドレスでアクセスする方法 - なか日記
http://blog.nakajix.jp/entry/2014/09/19/022536

↑

プロキシ環境 †

プロキシ環境下で外部サービスに接続
プロキシ環境下で外部サービスに接続する場合、以下の実装・設定を行う必要がある。

ASP.NET Identity - プロキシ環境下で外部サービスによるユーザ認証を行う
http://ichiroku11.hatenablog.jp/entry/2014/04/09/224050

これだとインターネットにルーティングされるので、localhostへのプロキシ使用をOFFにする。
従って、ローカルのFQDN名はプロキシを利用しないで済むlocalhost設定が可能で無いと難しい。

企業プロキシのフィルタリングについて。
- どこにアクセスしようとしているかを確認する必要がある。
- 例えば、Googleでは、をフィルタ解除しているだけでは認証がうまく通らなかった。
  - https://www.google.com/
- 従って、切り分けのために、企業プロキシの外からテストすることも重要になる。

↑

サービス側の変更 †

サービス側の

仕様が不明確なことや、
仕様の変更が多いことろがあり、

トラブる事が多い。

Using Google and LinkedIn? Accounts for Your .net MVC 5 Site’s Authentication:
Tips and Tricks and the error externalLoginCallback??error=access_denied | C# is all around, by Riccardo Moschetti
https://riccardo-moschetti.org/2014/08/25/using-google-accounts-for-your-net-mvc-5-sites-authentication-tips-and-tricks-and-the-error-externallogincallbackerroraccess_denied/

また、過去GoogleのOpenIDの外部ログイン・プロバイダが存在しており、最近OAuthに置き換えられたことを考えると、
将来的には、OAuthが、OpenID Connectに置き換えられる。などと言った可能性はある。

ASP.NET MVC 5 で OpenID を使用して Google 認証を行う方法: ある SE のつぶやき
http://fnya.cocolog-nifty.com/blog/2014/03/aspnet-mvc-5-op.html
- サイトにパスワードを保存する必要なし ― Microsoft、Google等がユーザー認証の新規格、OpenID Connectをサポート | TechCrunch? Japan
  http://jp.techcrunch.com/2014/02/27/20140226openid-foundation-launches-openid-connect-identity-protocol-with-support-from-google-microsoft-others/

↑

テンプレート実装の課題 †

ほぼ、AccountController?.ExternalLoginCallback?周辺で完結する。

↑

E-mailアドレス †

外部ログインをしても、既定でE-mailアドレスは取得できないので
プロジェクト・テンプレートも、既定でE-mailアドレスを自分で手入力するという仕様で実装されている。

しかし、この状態で、E-mail Confirmationを実装していると矛盾が生じる。

なので、検証済みのE-mailアドレスを取得できるように、連携先に、E-mailアドレスを要求するように設定する。

c# - Get E-mail of User Authenticated with Microsoft Account in ASP.NET Identity - Stack Overflow
http://stackoverflow.com/questions/22229593/get-e-mail-of-user-authenticated-with-microsoft-account-in-asp-net-identity

twitterのoauthを使ってみる（emailも取得） - Qiita
http://qiita.com/kite_999/items/e0ab8c52f918bbb02cfd

これにより、連携先から、検証済みのE-mailアドレスを取得できるようになるため、
この、E-mailアドレスを使用して、ユーザ登録し、外部ログインを追加れば整合性が取れる。

↑

Claimの保存 †

既定ではClaimの保存処理は実装されていないので自分で実装する必要がある。

await UserManager.AddClaimAsync(user.Id, claim);

参考：
- ASP.NET Identity : External Login カスタマイズ (claim, scope, access token などの活用) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2014/06/15/asp-net-identity-external-login-claim-scope-access-token/
  －－－－－(引用)－－－－－
  さて、上記の Startup.Auth.cs で追加した　External Login の Claim も、同様にデータベースに保持しておかないと以降の処理で参照できません。この設定をおこなうには、例えば、Controllers/AccountController?.cs の ExternalLoginConfirmation? に下記太字の通り追記して、External Login の Claim も保存します。ここでは、強制的に External Login で取得した Claim をデータベースに (Claim として) 保持していますが、上図のように UI で確認してから登録させるような実装も可能でしょう。なお、ここで登場する External Cookie は、この ExternalLoginConfirmation? と同時に消されてしまうので、この永続化の処理は、必ずこのタイミングで実行してください。(以降の処理で External Login の Claim を参照することはできません。)
  －－－－－(引用)－－－－－

↑