アクティブなディレクトリのWindows PCからユーザー名パスワードを入力しなくても、システムに安全にログオンできるようにします。アイデアは、私が(ログオンしたWindowsマシン上で実行されているクライアントソフトウェア)、私が私が誰であるかをサーバに証明する何らかのトークンを持っているということです(トークンと私のアイデンティティ身元)。これは可能ですか?ネット3?アクティブなディレクトリでトークンベースの認証を使用できますか?
c#で使用されている言語。
アクティブなディレクトリのWindows PCからユーザー名パスワードを入力しなくても、システムに安全にログオンできるようにします。アイデアは、私が(ログオンしたWindowsマシン上で実行されているクライアントソフトウェア)、私が私が誰であるかをサーバに証明する何らかのトークンを持っているということです(トークンと私のアイデンティティ身元)。これは可能ですか?ネット3?アクティブなディレクトリでトークンベースの認証を使用できますか?
c#で使用されている言語。
ネットワークリソース(ファイル共有、SQLサーバーなど)にアクセスすると、アプリケーションは現在実行しているユーザーとして自動的に実行します。もっと具体的なことをしたいですか?ドメインで操作している場合は、使用するネットワークリソースに自然にアクセスする必要があります。
.NETを使用すると、他のユーザーを偽装してタスクを実行できますが、追加の手順を取らずに再度ログインすることなくユーザーのために行動します。
Windows上の各アプリケーションスレッドは、デフォルトでは現在のユーザーのトークンです。マシンまたはネットワーク上のファイルを読み取る場合は、アプリケーションがトークンと共にそこに移動します。アプリケーションを他のユーザーやサービスとして実行するか、コードを偽装して他のユーザーとして動作させることができます。あなたがasp.netアプリケーションとして使用している場合、Internet Explorerはiis(イントラネットエリア内)のバックグラウンドでデータを交換するので、サーバーは自分の身元を知ることができますが、デフォルトではユーザーの資格情報では実行されません。 web.configによって変更されました
質問が正しく理解されていれば、このインスタンスではKerberosが正確に探しているように見えます。 Kerberos認証(ターゲット環境でサポートされている場合)により、このようなチケット認証が可能になります。ケルベロスとブローカ認証は、私がBrokered Authentication with Kerberos上のMSDNの参照をお勧めしますどのように動作するかの広範な概要についてはこれをサポートするC#コードについては
、私はMSのWebに焦点を当てたです。このCodeProject articleをお勧めします他のシナリオで使用するための基礎を提供する可能性があります。
あなたは本当にクレームベースの認証を見てください。
マイクロソフトでは最近多くのことを行っています。 Geneva Server(正式にはADFS 2.0と呼ばれています)とGeneva Framework(正式にWindows Identity Foundationと呼ばれています)について聞いたことがあります。一般的に、Geneva ServerまたはSecurity Token Server(STS)では認証が行われ、認証されたユーザーにはリソースに提示するセキュリティトークン(SAML 2.0ベース)が与えられます。彼/彼女はアクセスしたいと思う。認証は、Windows認証(Windows統合認証と呼ばれます)のように、すでに存在するトークンを翻訳することによって、ユーザー名/パスワード、スマートカード、証明書などのさまざまな手段で行うことができます。
トークンはSAML 2.0ベース(他のベンダーのSTS製品との良好な相互運用性のために重要な業界標準)です。これには、許可を行うためのアプリケーションまたはリソース(Webサービスを含む)で使用される人物に関するクレームが含まれます(権利の付与)。その目的のためには、もちろん、アプリケーションがSTSによって与えられたクレームを信頼することが不可欠です。一方、アプリケーションは全く認証を行う必要はありません。
Geneva Frameworkは、アプリケーション内のトークンを処理するために使用されるライブラリ(.NET)です。使用するのはかなり簡単です。
詳細については、このトピックの概要を説明するホワイトペーパーをご覧ください。公式サイトはhere.
です。もちろん、実際に興味深い部分IMHOであるこれらの概念で対処されている多くの問題があります。これには、シングルサインオン(SSO)、フェデレーションされたシングルサインオン(複数の組織境界にわたる)、委任(アプリケーションはユーザーの権限でWebサービスを使用します)が含まれます。この情報が役立つことを願っています!
乾杯
PS:もちろんこれは、すべてのMicrosoftの問題ではありません。同様の機能を提供するSun OpenSSO、Ping Identity、Thinktecture Identity Serverなどの他のSTS製品もあります。私はちょうどADとの良好な相互運用性と質問で言及されたWindows認証だから、Microsoftのことを強調した。
言及したホワイトペーパーは、次のとおりです。 http://download.microsoft.com/download/7/D/0/7D0B5166-6A8A-418A-ADDD-95EE9B046994/Introducing_Geneva_Beta1_Whitepaper.pdf と http://download.microsoft .com/download/7/D/0/7D0B5166-6A8A-418A-ADDD-95EE9B046994/GenevaFramework-WhitepaperForDevelopers-Beta2.pdf – Macross
この目的のために作成されたドメインプリンシパルをアプリケーションに偽装させます。 –
このタイプの動作を有効にするためにKerberosパッケージを特別にセットアップすることができるので、特にプログラミングの答えを探していますか? –