Я могу использовать основанную на маркере аутентификацию с активным каталогом?
См.:
http://www.gossamer-threads.com/lists/wiki/wikitech/156910?page=last
нет никакого лучшего пути.
4 ответа
Если я правильно понял вопрос, то похоже, что Kerberos может быть именно тем, что вы ищете в данном случае. Проверка подлинности Kerberos (если она поддерживается вашей целевой средой) позволит использовать этот способ проверки подлинности с использованием билетов. Для полного обзора того, как работает Посредническая аутентификация с Kerberos, я бы порекомендовал ссылку MSDN на Посредническая аутентификация с Kerberos :
.gif){kind=link}
Что касается кода C #, поддерживающего это,
Если вы обращаетесь к каким-либо сетевым ресурсам (общие файловые ресурсы, серверы SQL и т. Д.), Приложение автоматически выполнит их как пользователь, который его в данный момент запускает. Хотите сделать что-то более конкретное? Если вы работаете в домене, разрешения, естественно, должны следовать за вами для любых сетевых ресурсов, которые вы используете.
Вы можете использовать .NET, чтобы выдавать себя за других пользователей и выполнять задачи от их имени, но, не предпринимая никаких дополнительных шагов, вы действовать от имени пользователя, не заставляя его снова входить в систему.
на машинах с Windows каждый поток приложения работает под некоторым токеном безопасности, по умолчанию это токен текущего пользователя, поэтому, если вы хотите прочитать файл на машине или в сети, ваше приложение перейдет туда с помощью своего токена вы можете запускать приложения от имени другого пользователя или службы или выдавать себя за свой код, чтобы действовать от имени другого пользователя. если вы используете его как приложение asp.net, Internet Explorer будет обмениваться данными в фоновом режиме с iis (в вашей интрасети), чтобы сервер знал, кто вы, но по умолчанию не будет работать под вашими учетными данными, это может быть изменено через web.config
Я думаю, вам действительно стоит взглянуть на аутентификацию на основе утверждений.
Microsoft за последнее время многое сделала. Вы, наверное, слышали о Geneva Server (теперь официально именуемом ADFS 2.0) и Geneva Framework (теперь официально именуемым Windows Identity Foundation). Идея состоит в том, что аутентификация выполняется в центральной точке / сервере (Женевский сервер или сервер маркеров безопасности (STS) в целом), аутентифицированному пользователю выдается токен безопасности (на основе SAML 2.0), который он / она представляет ресурсу. он / она хочет получить доступ. Аутентификация может выполняться различными способами, включая имя пользователя / пароль, смарт-карту, сертификаты или - в вашем случае - путем перевода уже существующего токена, такого как аутентификация Windows (так называемая встроенная аутентификация Windows).
Маркер - это SAML 2. 0 (отраслевой стандарт, который важен для хорошей совместимости с продуктами STS других производителей). Он содержит утверждения о человеке, которые используются в приложении или ресурсе (включая веб-службы) для авторизации (предоставления прав). Для этой цели, конечно же, важно, чтобы приложение доверяло утверждениям, предоставленным STS. С другой стороны, приложение вообще не нуждается в какой-либо аутентификации.
Geneva Framework - это библиотека (.NET), используемая для обработки токенов в приложении. Он довольно прост в использовании.
Для получения дополнительной информации, пожалуйста, просмотрите официальные документы, которые дают хорошее введение в эту тему. Официальный сайт здесь.
Конечно, есть еще много вопросов, которые решаются с помощью этих концепций, что действительно является интересной частью IMHO. Это включает в себя единый вход (SSO), федеративный единый вход (в пределах нескольких организаций), делегирование (приложение использует веб-службу с вашими правами пользователя). Надеюсь, эта информация поможет!
Ура
PS: Конечно, это вовсе не проблема Microsoft. Существуют и другие продукты STS, такие как Sun OpenSSO, Ping Identity и Thinktecture Identity Server, которые предоставляют аналогичные функции. Я просто выделил материал Microsoft, потому что это хорошая совместимость с AD и аутентификацией Windows, упомянутой в вопросе.
Ping Identity и Thinktecture Identity Server, которые предоставляют аналогичные функции. Я просто выделил материал Microsoft, потому что это хорошая совместимость с AD и аутентификацией Windows, упомянутой в вопросе. Ping Identity и Thinktecture Identity Server, которые предоставляют аналогичные функции. Я просто выделил материал Microsoft, потому что это хорошая совместимость с AD и аутентификацией Windows, упомянутой в вопросе.