Поддержка & ldquo; два аккаунта & rdquo; вход при внедрении IProfileService
2 ответа
Это всего лишь предположения, но мне кажется, что учетная запись службы на самом деле является не реальной учетной записью пользователя, а учетной записью компьютера. Так что на самом деле он не идентифицирует пользователя, а компьютер. И из того, что ты пишешь, кажется, что важно только местоположение.
Я думаю, что продление грантов может быть ответом в вашем случае. Потому что вы можете создать свой собственный логин для машины / пользователя. Объединение информации в одном токене доступа.
Альтернативой может быть просмотр IP-адреса. Но это работает только тогда, когда компьютер имеет фиксированный и известный IP-адрес.
Оба варианта привязывают пользователя к местоположению.
Разрешения не должны быть частью настройки, чтобы поддерживать маленький токен доступа, хотя IdentityServer имеет структуру для этого. Вместо этого вы можете захотеть взглянуть на сервер авторизации (например, PolicyServer ), который обрабатывает разрешения. В этом случае вы можете использовать имя пользователя Windows компьютера (если проверено и является частью токена) или IP-адрес, а также идентификатор пользователя, чтобы получить разрешения для пользователя для этого расположения.
Решение, которое мы получили, заключалось в изменении потока входа в систему для выполнения прозрачной аутентификации Windows, за которой сразу следовала аутентификация по имени пользователя и паролю. Мы кэшировали имя пользователя для аутентификации Windows в пользовательском утверждении во время аутентификации имени пользователя и пароля, чтобы и учетная запись службы, и учетная запись пользователя были доступны в Principal в IProfileService.