Megosztás a következőn keresztül:

Megszemélyesítés használata a Transport Security használatával

  • Cikk

A megszemélyesítés a kiszolgálóalkalmazások azon képessége, hogy az ügyfél identitását átvegye. Gyakran előfordul, hogy a szolgáltatások megszemélyesítést használnak az erőforrásokhoz való hozzáférés ellenőrzésekor. A kiszolgálóalkalmazás szolgáltatásfiókkal fut, de amikor a kiszolgáló elfogad egy ügyfélkapcsolatot, megszemélyesíti az ügyfelet, hogy a hozzáférési ellenőrzések az ügyfél hitelesítő adataival legyenek végrehajtva. Az átviteli biztonság a hitelesítő adatok átadására és a hitelesítő adatok használatával történő kommunikáció biztonságossá tételére szolgáló mechanizmus. Ez a témakör a Windows Communication Foundation (WCF) átviteli biztonságának megszemélyesítési funkcióval való használatát ismerteti. További információ az üzenetbiztonságot használó megszemélyesítésről: Delegálás és megszemélyesítés.

Öt megszemélyesítési szint

A közlekedési biztonság öt megszemélyesítési szintet használ, az alábbi táblázatban leírtak szerint.

Megszemélyesítés szintje Leírás
Egyik sem A kiszolgálóalkalmazás nem próbálja meg megszemélyesíteni az ügyfelet.
Névtelen A kiszolgálóalkalmazás hozzáférés-ellenőrzéseket végezhet az ügyfél hitelesítő adatain, de nem kap információt az ügyfél identitásáról. Ez a megszemélyesítési szint csak a gépi kommunikáció, például a nevesített csövek esetében értelmezhető. A távoli kapcsolattal való használat Anonymous előlépteti a megszemélyesítési szintet az Azonosítás értékre.
Azonosítás A kiszolgálóalkalmazás ismeri az ügyfél identitását, és hozzáférés-ellenőrzést végezhet az ügyfél hitelesítő adatain, de nem tudja megszemélyesíteni az ügyfelet. Az azonosítás az SSPI hitelesítő adataival használt alapértelmezett megszemélyesítési szint a WCF-ben, kivéve, ha a jogkivonat-szolgáltató más megszemélyesítési szintet biztosít.
Megszemélyesítés A kiszolgálóalkalmazás a hozzáférési ellenőrzések végrehajtása mellett ügyfélként is hozzáférhet a kiszolgálógép erőforrásaihoz. A kiszolgálóalkalmazás nem tud hozzáférni az ügyfél identitását használó távoli gépek erőforrásaihoz, mert a megszemélyesített jogkivonat nem rendelkezik hálózati hitelesítő adatokkal
Delegált A delegálási megszemélyesítési szint amellett, hogy ugyanazokkal a képességekkel Impersonaterendelkezik, lehetővé teszi a kiszolgálóalkalmazás számára, hogy az ügyfél identitásával elérhesse a távoli gépek erőforrásait, és átadhassa az identitást más alkalmazásoknak.

Fontos: A kiszolgáló tartományi fiókját megbízhatóként kell megjelölni a tartományvezérlő delegálásához a további funkciók használatához. Ez a megszemélyesítési szint nem használható bizalmasként megjelölt ügyféltartomány-fiókokkal.

A közlekedésbiztonságban leggyakrabban használt szintek a következők Identify : és Impersonate. Ezek a szintek NoneAnonymous nem ajánlottak a tipikus használathoz, és számos átvitel nem támogatja ezeket a szinteket hitelesítéssel. A Delegate szint egy hatékony funkció, amelyet körültekintően kell használni. Hitelesítő adatok delegálására csak megbízható kiszolgálóalkalmazások jogosultak.

A megszemélyesítés vagy Delegate a Impersonate szintek megszemélyesítéséhez a kiszolgálóalkalmazásnak rendelkeznie kell a SeImpersonatePrivilege jogosultsággal. Az alkalmazások alapértelmezés szerint ezt a jogosultságot használják, ha az Rendszergazda istrators csoport egyik fiókjában vagy egy szolgáltatás SID-jével (hálózati szolgáltatás, helyi szolgáltatás vagy helyi rendszer) rendelkező fiókon fut. A megszemélyesítéshez nincs szükség az ügyfél és a kiszolgáló kölcsönös hitelesítésére. Egyes megszemélyesítést támogató hitelesítési sémák, például az NTLM nem használhatók kölcsönös hitelesítéssel.

A megszemélyesítéssel kapcsolatos közlekedésspecifikus problémák

A WCF-ben a szállítás kiválasztása befolyásolja a megszemélyesítés lehetséges lehetőségeit. Ez a szakasz a WCF-ben a szabványos HTTP- és elnevezett csőátviteleket érintő problémákat ismerteti. Az egyéni átvitelek saját korlátozásokkal rendelkeznek a megszemélyesítés támogatására.

Elnevezett csőátvitel

A rendszer a következő elemeket használja a nevesített csőátvitelhez:

  • A nevesített csőátvitel csak a helyi gépen használható. A WCF nevesített csőátvitele kifejezetten letiltja a gépközi kapcsolatokat.

  • Az elnevezett csövek nem használhatók a megszemélyesítési szinttel vagy a ImpersonateDelegate megszemélyesítési szinttel. A megnevezett cső nem tudja érvényesíteni a gépi garanciát ezen megszemélyesítési szinteken.

A nevesített csövekről további információt a Szállítás kiválasztása című témakörben talál.

HTTP-átvitel

A HTTP-átvitelt (WSHttpBindingés BasicHttpBinding) használó kötések számos hitelesítési sémát támogatnak, a HTTP-hitelesítés ismertetése szerint. A támogatott megszemélyesítési szint a hitelesítési sémától függ. A HTTP-átvitelhez a következő elemek használhatók:

  • A Anonymous hitelesítési séma figyelmen kívül hagyja a megszemélyesítést.

  • A Basic hitelesítési séma csak a Delegate szintet támogatja. Minden alacsonyabb megszemélyesítési szint frissül.

  • A Digest hitelesítési séma csak a szinteket és Delegate a szinteket Impersonate támogatja.

  • A NTLM közvetlenül vagy egyeztetéssel kiválasztható hitelesítési séma csak a Delegate helyi gépen lévő szintet támogatja.

  • A Kerberos hitelesítési séma, amely csak egyeztetéssel választható ki, bármilyen támogatott megszemélyesítési szinttel használható.

A HTTP-átvitelről további információt az Átvitel kiválasztása című témakörben talál.

Lásd még