.Net Core 2.0 - Azure Active Directory - NGinX反向代理 - HTTPS

时间:2018-03-17 20:13:45

标签: azure asp.net-core azure-active-directory

我有一个.NET Core 2.0网站,在Linux上运行,侦听端口5000,在NGinX反向代理后面,它正在侦听端口80和442. NGinX配置为将HTTP流量重定向到HTTPS,并处理所有通信通过HTTPS。 NGinx反向代理和Asp.Net核心应用程序位于共享网络上的自己的docker容器中。

此设置目前正如所述。

但是,我现在想要针对Azure Active Directory验证我的用户。我遇到了一个问题,不知道从哪里开始。

首先,让我告诉你我如何配置大部分,然后我会解释我的错误。

NGinx(nginx.conf)

worker_processes 2;

events { worker_connections 1024; }

http {
    sendfile on;

    upstream docker-dotnet {
        server mycomp_prod:5000;
    }

    server {
            listen 80;
            server_name sales.mycompany.com;
            return 301 https://$host$request_uri;
    }

    server {
        listen 443 ssl;
        server_name sales.mycompany.com;
        ssl_certificate     /etc/nginx/ssl/combined.crt;
        ssl_certificate_key /etc/nginx/ssl/salesmycompany.key;

        location / {
            proxy_pass         http://docker-dotnet;
            proxy_redirect     off;
            proxy_set_header   Host $host;
            proxy_set_header   X-Real-IP $remote_addr;
            proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header   X-Forwarded-Host $server_name;
        }
    }

}

Dotnet:Startup.cs ConfigureServices()

services.AddAuthentication(sharedOptions =>
{
     sharedOptions.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
     sharedOptions.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
})
.AddAzureAd(options => Configuration.Bind("AzureAd", options))
.AddCookie();

Dotnet:Startup.cs Configure()

app.UseForwardedHeaders(new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
});
app.UseAuthentication();

Dotnet:appsettings.json

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "Domain": "mycompany.com",
    "TenantId": "my-tenant-id",
    "ClientId": "my-client-id",
    "CallbackPath": "/signin-oidc"
  },

在我的Azure Active Directory Tentant

我已配置2个“回复网址”

现在出现错误/我的问题

当我点击该网站时,我会登录。之后登录,并选择是否“保持登录状态”,我被带到了一个有错误的页面。

enter image description here

您可以在错误中看到,尝试重定向到的回复地址是HTTP,而不是HTTPS。我认为这是来自appsettings.json中的行:

"CallbackPath": "/signin-oidc"

由于我的.NET核心站点(通过端口5000上的Kestrel)不在HTTPS上,因此它尝试加载http://example.com / signin-oidc ,而不是HTTPS。请记住,我的.NET核心站点位于NGinX反向代理服务器后面,该代理服务器配置为处理443上的流量。

谢谢,

3 个答案:

答案 0 :(得分:2)

我看到了这一点,并且能够使它起作用:https://github.com/aspnet/Security/issues/1702

        var fordwardedHeaderOptions = new ForwardedHeadersOptions
        {
            ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
        };
        fordwardedHeaderOptions.KnownNetworks.Clear();
        fordwardedHeaderOptions.KnownProxies.Clear();

        app.UseForwardedHeaders(fordwardedHeaderOptions);

答案 1 :(得分:1)

您应该查看Hosting on Linux上的文档。

确保在UseForwardedHeaders之前的中间件管道中使用UseAuthentication

app.UseForwardedHeaders(new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
});

app.UseAuthentication();

Nginx将在将呼叫转发给Kestrel之前为其分配一个标头(以及其他内容)。 然后,此中间件将检查这些标头以设置正确的协议。

答案 2 :(得分:0)

在startup.cs中,您可以尝试强制使用主机名和架构。以下代码可以提供帮助。重要提示:在设置身份验证之前将其置于

app.Use((context, next) =>
{
   context.Request.Host = new HostString(hostname + (port.HasValue ? ":" + port : null));
   context.Request.Scheme = protocol;
   return next();
});