Discussion :

[bensra]

Bonjour,

J'aimerai savoir s'il �tait possible d'impl�menter facilement une authentification de type "intranet" via l'AD mais aussi d'avoir la possibilit� de bypasser l'AD en renseignant un login et un mot de passe stock�s en base de donn�es (form authentification) via un �cran de login sans connexion � l'AD.
Ceci pour une m�me application ASP.NET MVC 4.

Merci d'avance

[Dadv]

Bonjour,

Possible : oui, Simple.. c'est une autre histoire.

En fait la solution est a penser de mani�re diff�rente : Il faut transformer l'identification AD (ou AAD) en CookieAuthentication (c'est � dire l'authentification par formulaire).

J'ai r�ussi � le faire avec AAD mais la proc�dure doit �tre sensiblement identique avec un AD on premise j'imagine.

J'ai utilis� dans mon cas L'OpenId mais le principe reste le m�me quelque soit le mode.

Dans Startup.Auth.cs :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
 
 
app.SetDefaultSignInAsAuthenticationType(DefaultAuthenticationTypes.ApplicationCookie)
 
app.UseCookieAuthentication(new CookieAuthenticationOptions
            {               
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,               
                LoginPath = new PathString("/Account/ExternalLogin"),
                Provider = new CookieAuthenticationProvider
                {
 
                }
            });
 
app.UseExternalSignInCookie(DefaultAuthenticationTypes.ExternalCookie);
 
app.UseOpenIdConnectAuthentication(
              new OpenIdConnectAuthenticationOptions
              {                  
                  AuthenticationType = OpenIdConnectAuthenticationDefaults.AuthenticationType, 
                  ClientId = ConfigHelper.ClientId,
                  Authority = ConfigHelper.Authority,
                  PostLogoutRedirectUri = ConfigHelper.PostLogoutRedirectUri,
                  AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Passive,
                  CallbackPath = new PathString("/Account/ExternalLoginCallback"), //New
                  RedirectUri = ConfigHelper.PostLogoutRedirectUri+ "/Account/ExternalLoginCallback",  
                  Notifications = new OpenIdConnectAuthenticationNotifications
                  {
                      AuthenticationFailed = context =>
                      {
                          context.HandleResponse();
                          context.Response.Redirect("/Home/Error?message=" + context.Exception.Message);
                          return Task.FromResult(0);
                      }
                  }
              });

Le reste est une question d'utilisation de l'attribut Authorize.

Dans la page login les externals connexions vont prendre la valeur OpenId (un bouton) et � gauche il y aura le formulaire normal.

Quand tu te connecte avec AD (ou ici AAD) la premi�re fois il va aller sur la page ExternalLoginConfirmation et associer ton compte AAD � un compte local (UserApplication).

En suite il remplace l'authentification en cours par celle du local.

l'OpenId ne sert en fait qu'a dire : ok c'est bien un utilisateur reconnu, tu peux le lier � un compte local.