Развертывание IdentityServer4 за обратным прокси

Question

Развертывание IdentityServer4 за обратным прокси

2

Мы пытаемся развернуть IdentityServer4 за обратным прокси. Документ обнаружения возвращает локальные URL-адреса, например

https://xxx.local/connect/token

Где нам нужно

https://xxx.domain.com/connect/token

В IdentityServer документы указывают нам на этой GitHub странице. Однако, когда мы настраиваем промежуточное ПО, как описано, мы не видим никаких изменений.

var options = new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
};
options.KnownNetworks.Clear();
options.KnownProxies.Clear();
app.UseForwardedHeaders(options);

Аналогичная настройка найдена на этой странице github. Представленное решение использует nginx, поэтому, возможно, наша конфигурация iis отключена.

В IIS для прокси:

<serverVariables>
     <set name="HTTP_X_ORIGINAL_REMOTE_ADDR" value="{REMOTE_ADDR}" />
     <set name="HTTP_X_FORWARDED_PROTO" value="https" />
</serverVariables>

Любая помощь будет оценена по достоинству.

ndoes 29 июнь 2017, в 12:29

Источник

0

К вашему сведению: URL-адреса в документе обнаружения по умолчанию зависят от URL-адреса запроса. Чтобы изменить это поведение, проверьте раздел «Проверка издателя» моего ответа stackoverflow.com/a/44483624/5112433 .
Ilya Chumakov 29 июнь 2017, в 11:34
0

Я попробовал это. Это изменяет «эмитента» в ответе, но остальные URL остаются локальными.
ndoes 29 июнь 2017, в 14:08
0

У нас та же проблема.
chrisdrobison 14 июль 2017, в 22:53
0

@chrisdrobison Нам действительно удалось это исправить, отключив «Обратный перезаписывать хост в заголовках ответов» на прокси. Вы можете попробовать это.
ndoes 18 июль 2017, в 11:49
0

Мы поняли это в конце концов, но мы должны были послать TLS полностью через
chrisdrobison 19 июль 2017, в 15:12
0

@ chrisdrobison не могли бы вы рассказать, как вы этого добились? Я сталкиваюсь с подобной проблемой. Заранее спасибо.
Ricky Stam 06 окт. 2017, в 20:22
1

@RickyStam У нас был прокси-сервер, который перенаправлял все заголовки и включал SSL на всех веб-серверах. Это, казалось, сработало. Однако я столкнулся с этим сегодня: amilspage.com/set-identityserver4-url-behind-loadbalancer . Этот способ намного проще и более настраиваемый. Они только что выпустили v2, что делает все это спорным вопросом в любом случае, так как теперь вы можете настроить общедоступное происхождение как в idsrv3.
chrisdrobison 07 окт. 2017, в 18:26

Показать ещё 5 комментариев

Теги:

c#

asp.net-core

reverse-proxy

iis

identityserver4

1 ответ

Ещё вопросы

К вашему сведению: URL-адреса в документе обнаружения по умолчанию зависят от URL-адреса запроса. Чтобы изменить это поведение, проверьте раздел «Проверка издателя» моего ответа stackoverflow.com/a/44483624/5112433 .
Я попробовал это. Это изменяет «эмитента» в ответе, но остальные URL остаются локальными.
@chrisdrobison Нам действительно удалось это исправить, отключив «Обратный перезаписывать хост в заголовках ответов» на прокси. Вы можете попробовать это.
Мы поняли это в конце концов, но мы должны были послать TLS полностью через
@ chrisdrobison не могли бы вы рассказать, как вы этого добились? Я сталкиваюсь с подобной проблемой. Заранее спасибо.
@RickyStam У нас был прокси-сервер, который перенаправлял все заголовки и включал SSL на всех веб-серверах. Это, казалось, сработало. Однако я столкнулся с этим сегодня: amilspage.com/set-identityserver4-url-behind-loadbalancer . Этот способ намного проще и более настраиваемый. Они только что выпустили v2, что делает все это спорным вопросом в любом случае, так как теперь вы можете настроить общедоступное происхождение как в idsrv3.

Larry Shimmell · Answer 1 · 2018-12-19T19-26-00.000Z

Внутри IDS запуска, где вы запускаете IDS, попробуйте следующий код

var builder = services.AddIdentityServer(options =>
        {
            ...


            options.PublicOrigin = "https://domainName.com";// <= try adding this!

           ...




        })

Это заставит вашу конечную точку обнаружения быть вашим публичным IP. Дай мне знать, если это работает. я

Ваш одинокий ответ помог правильно настроить RedirectUri для нашего частного сервера IdP, когда мы использовали внешнего поставщика аутентификации, спасибо!