Mi spiego meglio...Utilizzando il defaultauth applicationdbcontext comunque contiene la gestione anche dei ruoli.
Lo scopo è quello che creare una autenticazione unica per dominio e sottodomini e tenere a parte i ruoli in ciascun database del sottodominio. Ogni sottodominio ha i propri ruoli.
alla chiamata tramite jwtbearer o cookie del sottodominio scatta l'attributo Autorize, ma qui il problema.
Innagino che debba creare un customauthattribute e decorare il controller. All'interno dell'attributo fa la retrieve dei ruoli dell'utente loggato e verificare se puoi chiamare il controller (web o api)
F.

In pratica tu dici di crearmi un middleware che tramite ti i li username (univoco) recuperi i ruoli utente i li inietti come claim. Questi sono alla base di Authorize(Roles...)
Due domande:
new Claim(CustomClaimTypes.Permission, "Customer.Create") giusto?
Ma tu dici di passare in fase di login i claims? O di iniettarli ad ogni richiesta?
Considera che la cosa dovrà funzionare sia scon i cookie sia con jwtbearer, questultimo per chiamate rest all'interno dello stesso sito.
Infine, non vorrei utilizzare entityframework codefirst per creare applicationdbcontext, ma un manager scritto da me come versione semplificata.
Ci sarà un database con tabelle di autenticazione e tabelle ruoli e profili. I profili hanno un campo che riconduce al sottodominio. Quindi ci sarà
ID 1 Profile Admin Domain www.domain.it
ID 2 Profile Manager Domain www.domain.it
---
ID 3 Profile Admin Domain www.site1.domain.it
---
ID 3 Profile User Domain www.site2.domain.it
---

Buongiorno,
in realtà la cosa è piu "semplice". Non ho ruoli all'interno dell'intero sistema fatto di dominio e sottodomini. L'utente ha un profilo e con quello agisce sulle tabelle di gestione insert/update/delete ecc..
Solo l'admin vede quelle tabelle readonly, ma agisce in maniera esclusiva sulla parte di censimento e configurazione utenze e dati primitivi. Quindi opterei per la sol tabella Profile.
Detto questo ho un problema di fondo.
I sottodomini rappresentano i clienti e quindi una utenza del cliente dovrebbe accedere solo al dominio principale e al sottodominio di competenza che poi è il sito dell'azienda.
Quindi l'idea e le domande:
- un unico database con dbo.Utenti e dbo.Profile generico per tutti?
- nello stesso database lavorando con gli schemi: cl1.Articoli, cli2.Articoli. Questo significa che l'utenza Mario se loggato al sito cl1 quando da quello fa una richiesta il datamodel referenziato dal sito userà lo schema cl1.
Quindi non mi deve preoccupare di controllare se MArio può utilizzare il datamodel cl1 perché se accede e lavora sul sottodominio cl1 allora in automatico utilizzarà il datamodel che fa riferimento allo schema cl1.
Lavorando con gli schemi quindi avrei innanzitutto un solo database e non un database per le sole utenze e tanti database per ciascun sottodominio.
Come faccio però a fare in modo che Mario loggandosi sul dominio principale abbia un cookie che lavori solo per dominio.com e cl1.dominio.com?
Volendo utilizzare CookieAuthenticationOptions CookieDomain come faccio a prevedere l'accesso solo a dominio.com e site1.dominio.com?
CookieAuthenticationOptions CookieDomain prevede accesso a tutto ciò che finisce con .dominio.com
In pratica:
Mario ha accesso a dominio.com e site1.dominio.com
Luca ha accesso a dominio.com e site2.dominio.com
Ovviamente in fase di login e due dovranno essere loggati in automatico ai rispettivi siti. In Aspitalia viene adottato il meccanismo di passare le grant ai vari sottodomini e non vorrei farlo nemmeno in ajax dovendo abilitare CORS. Sarebbe interessante capire come prevedere nella configurazione di ogni sito la possibilità di specificare in CookieDomain= "dominio.com,sitex.dominio.com"

p.s.
ho trovato forse la soluzione?
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationScheme = "cl1.dominio.com",
CookieDomain = "cl1.dominio.com",
});
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationScheme = "dominio.com",
CookieDomain = "dominio.com",
});

Questo in ogni sottodominio, dando dunque accesso per quel sottodominio anche al dominio.
Ma così l'utente si logga solo dal sottodominio. Se si logga dal dominio dovrei creare dinamicamente i cookie? Come? Una parte della soluzione sarebbe quella di censire nel database una tabella di collegamento tra utenza e schemi così che a Mario venga associato lo schema cl1, ma poi come creare dinamicamente il cookie relativo al sottodominio il cui nome corrisponde allo schema (cl1) quando l'utente si logga?

oppure qualcosa del genere
app.UseCookieAuthentication(options =>
{
options.AuthenticationType = "type1";
options.CookieName = "type1";
});

app.UseCookieAuthentication(options =>
{
options.AuthenticationType = "type2";
options.CookieName = "type2";
});

E nel controller
Response.SignIn(new ClaimsIdentity("type1"));
Response.SignIn(new ClaimsIdentity("type2"));

---

Modificato da flaviovb il 26 luglio 2019 09:24 -

Direi che è preferibile come aspitalia. Mi domando come? Fare la redirect a site1.dominio.com a quale action? e con quali parametri?
Mario non deve entrare in site2.dominio.com da autenticato, sebbene io possa poi verificare con authorizeattribure che Mario nel suo set di schema non ha site2 ma solo site1
F.

---

Modificato da flaviovb il 26 luglio 2019 10:05 -