ASP.net MVC 集成安全迁移到 OKTA 多因素身份验证

ASP.net MVC integrated security migrating to OKTA multifactor authentication

我有一个 ASP.net 具有集成安全性的 mvc 应用程序,我希望将其迁移到 OKTA 多因素身份验证。我已经做了一些概念证明,似乎一切都找到了,但我对如何配置 IIS 有疑问,因为我不希望 IIS 强制用户使用有效的 Active Directory 帐户登录。使用匿名身份验证离开 IIS 我得到了我想要的,但这是一个好习惯吗?我认为这有点不安全。

经过大量研究,似乎让 IIS 接受匿名身份验证是正确的做法,因为请求来自 unrecognized/unauthorized 来源,因此 IIS 服务器拒绝访问资源。

web.config:

在 IIS 端启用匿名身份验证

authetication/authorization 通过 OKTA openid 会话依赖于 Owin,只需使用 [授权] 属性保护控制器。

这里是一些来源 https://msdn.microsoft.com/en-us/library/ff647070.aspx https://msdn.microsoft.com/en-us/library/ms998310.aspx https://clouddevelop.wordpress.com/2015/11/27/asp-net-mvc-owin-external-authentication-made-easy/ https://github.com/oktadeveloper/okta-aspnet-mvc-example