Authentification Windows intégrée

par Mike Wasson

Les Authentification Windows intégrés permettent aux utilisateurs de se connecter avec leurs informations d’identification Windows, à l’aide de Kerberos ou NTLM. Le client envoie les informations d’identification dans l’en-tête d’autorisation. Elle est idéale pour un environnement intranet. Pour plus d'informations, consultez Authentification Windows.

Avantages Inconvénients
Intégré à IIS. Non recommandé pour les applications Internet.
N’envoie pas les informations d’identification de l’utilisateur dans la demande. Nécessite la prise en charge kerberos ou NTLM dans le client.
Si l’ordinateur client appartient au domaine (par exemple, application intranet), l’utilisateur n’a pas besoin d’entrer d’informations d’identification. Le client doit se trouver dans le domaine Active Directory.

Notes

Si votre application est hébergée sur Azure et que vous disposez d’un domaine Active Directory local, envisagez de fédérer votre ad local avec Azure Active Directory. De cette façon, les utilisateurs peuvent se connecter avec leurs informations d’identification locales, mais l’authentification est effectuée par Azure AD. Pour plus d’informations, consultez Authentification Azure.

Pour créer une application qui utilise des Authentification Windows intégrées, sélectionnez le modèle « Application intranet » dans l’Assistant Projet MVC 4. Ce modèle de projet place le paramètre suivant dans le fichier Web.config :

<system.web>
    <authentication mode="Windows" />
</system.web>

Côté client, integrated Authentification Windows fonctionne avec n’importe quel navigateur qui prend en charge le schéma d’authentification Negotiate, qui inclut la plupart des navigateurs principaux. Pour les applications clientes .NET, la classe HttpClient prend en charge Authentification Windows :

HttpClientHandler handler = new HttpClientHandler()
{
    UseDefaultCredentials = true
};

HttpClient client = new HttpClient(handler);

Authentification Windows est vulnérable aux attaques par falsification de requête intersites (CSRF). Consultez Prévention des attaques par falsification de requête intersite (CSRF).