适用于.net核心应用的F5大IP背后的Azure AD身份验证

Question

我创建了一个使用Azure AD身份验证的.net核心应用程序。这意味着回调url是/signin-oidc。当我直接运行应用程序时，一切都很好，我可以使用Azure AD登录，但当我将应用程序放在Big-IP后面时，我不能。我收到一条消息，说“请求中指定的回复url与为应用程序配置的回复url不匹配”。

http://my.internal.private/表示，该应用程序在内部主机上运行。它在https://my.external.public/上是外部可达的，因此https://my.external.public/signin-oidc也被配置为回复URL。在https://localhost:12345/上调试时也可以访问它，因此我还将https://localhost:12345/signin-oidc配置为回复URL。

当我在本地运行应用程序时，一切正常，但当我试图在big-ip后面运行它时，它将https://my.external.public/转发到http://my.internal.private/，事情不起作用，我得到上面的错误。

错误:请求中指定的回复url与为应用程序配置的回复url不匹配

Answer 1

OpenID连接的回复/重定向URL基于您的浏览器的视点。如果同一站点有3个不同的主机名，您应该能够简单地将这3个URL添加到允许的列表中。或者，为了进行更实际的测试，您可以将静态主机记录添加到本地PC，以便您向Azure注册的外部主机名与您的开发环境相匹配。这可确保您的本地开发环境与生产环境完全匹配。

你可能已经读过这篇文章了，但这里有关于这个话题的MS帮助：https://docs.microsoft.com/en-us/azure/active-directory/develop/reply-url