Megosztás a következőn keresztül:


Megszemélyesítés használata a Transport Security használatával

A megszemélyesítés a kiszolgálóalkalmazások azon képessége, hogy az ügyfél identitását átvegye. Gyakran előfordul, hogy a szolgáltatások megszemélyesítést használnak az erőforrásokhoz való hozzáférés ellenőrzésekor. A kiszolgálóalkalmazás szolgáltatásfiókkal fut, de amikor a kiszolgáló elfogad egy ügyfélkapcsolatot, megszemélyesíti az ügyfelet, hogy a hozzáférési ellenőrzések az ügyfél hitelesítő adataival legyenek végrehajtva. Az átviteli biztonság a hitelesítő adatok átadására és a hitelesítő adatok használatával történő kommunikáció biztonságossá tételére szolgáló mechanizmus. Ez a témakör a Windows Communication Foundation (WCF) átviteli biztonságának megszemélyesítési funkcióval való használatát ismerteti. További információ az üzenetbiztonságot használó megszemélyesítésről: Delegálás és megszemélyesítés.

Öt megszemélyesítési szint

A közlekedési biztonság öt megszemélyesítési szintet használ, az alábbi táblázatban leírtak szerint.

Megszemélyesítés szintje Leírás
Egyik sem A kiszolgálóalkalmazás nem próbálja meg megszemélyesíteni az ügyfelet.
Névtelen A kiszolgálóalkalmazás hozzáférés-ellenőrzéseket végezhet az ügyfél hitelesítő adatain, de nem kap információt az ügyfél identitásáról. Ez a megszemélyesítési szint csak a gépen belüli kommunikáció, például a nevesített csövek esetében értelmezhető. A távoli kapcsolaton keresztüli használat Anonymous felemeli a megszemélyesítés szintjét az Azonosítás szintre.
Azonosít A kiszolgálóalkalmazás ismeri az ügyfél identitását, és hozzáférés-ellenőrzést végezhet az ügyfél hitelesítő adatain, de nem tudja megszemélyesíteni az ügyfelet. Az azonosítás az SSPI hitelesítő adataival használt alapértelmezett megszemélyesítési szint a WCF-ben, kivéve, ha a jogkivonat-szolgáltató más megszemélyesítési szintet biztosít.
Valakit megszemélyesíteni A kiszolgálóalkalmazás a hozzáférési ellenőrzések végrehajtása mellett ügyfélként is hozzáférhet a kiszolgálógép erőforrásaihoz. A kiszolgálóalkalmazás nem tud hozzáférni az ügyfél identitását használó távoli gépek erőforrásaihoz, mert a megszemélyesített jogkivonat nem rendelkezik hálózati hitelesítő adatokkal
Képviselő A delegálási megszemélyesítési szint amellett, hogy ugyanazokkal a képességekkel Impersonaterendelkezik, lehetővé teszi a kiszolgálóalkalmazás számára, hogy az ügyfél identitásával elérhesse a távoli gépek erőforrásait, és átadhassa az identitást más alkalmazásoknak.

Fontos A kiszolgáló tartományi fiókját megbízhatóként kell megjelölni a tartományvezérlő delegálásához a további funkciók használatához. Ez a megszemélyesítési szint nem használható bizalmasként megjelölt ügyféltartomány-fiókokkal.

A közlekedésbiztonságban leggyakrabban használt szintek a következők Identify : és Impersonate. Ezek a szintek NoneAnonymous nem ajánlottak a tipikus használathoz, és számos átvitel nem támogatja ezeket a szinteket hitelesítéssel. A Delegate szint egy hatékony funkció, amelyet körültekintően kell használni. Hitelesítő adatok delegálására csak megbízható kiszolgálóalkalmazások jogosultak.

A Impersonate vagy Delegate szinteken való megszemélyesítéshez a kiszolgálóalkalmazásnak rendelkeznie kell a SeImpersonatePrivilege jogosultsággal. Egy alkalmazás alapértelmezés szerint ilyen jogosultsággal rendelkezik, ha a Rendszergazda csoport egyik fiókjában vagy egy szolgáltatás SID-jével (hálózati szolgáltatás, helyi szolgáltatás vagy helyi rendszer) rendelkező fiókon fut. A megszemélyesítéshez nincs szükség az ügyfél és a kiszolgáló kölcsönös hitelesítésére. Egyes megszemélyesítést támogató hitelesítési sémák, például az NTLM nem használhatók kölcsönös hitelesítéssel.

Transport-Specific megszemélyesítéssel kapcsolatos problémák

A WCF-ben az átviteli mód kiválasztása befolyásolja a megszemélyesítés lehetőségeit. Ez a szakasz a WCF-ben a szabványos HTTP- és elnevezett csőátviteleket érintő problémákat ismerteti. Az egyéni átvitelek saját korlátozásokkal rendelkeznek a megszemélyesítés támogatásával kapcsolatban.

Elnevezett csőátvitel

A rendszer a következő elemeket használja a nevesített csőátvitelhez:

  • A nevesített csőátvitel csak a helyi gépen használható. A WCF nevesített csőátvitele kifejezetten letiltja a gépközi kapcsolatokat.

  • A megnevezett csövek nem használhatók a Impersonate vagy a Delegate megszemélyesítési szinttel. A megnevezett cső nem tudja érvényesíteni a gépi garanciát ezen megszemélyesítési szinteken.

A nevesített csövekről további információt a Szállítás kiválasztása című témakörben talál.

HTTP-átvitel

A HTTP-átvitelt (WSHttpBinding és BasicHttpBinding) használó kötések számos hitelesítési sémát támogatnak, a HTTP-hitelesítés ismertetése szerint. A támogatott megszemélyesítési szint a hitelesítési sémától függ. A HTTP-átvitelhez a következő elemek használhatók:

  • A Anonymous hitelesítési séma figyelmen kívül hagyja a megszemélyesítést.

  • A Basic hitelesítési séma csak a Delegate szintet támogatja. Minden meglévő alacsonyabb megszemélyesítési szint fel van emelve.

  • A Digest hitelesítési séma csak a Impersonate és Delegate szinteket támogatja.

  • A NTLM közvetlenül vagy egyeztetéssel kiválasztható hitelesítési séma csak a Delegate helyi gépen lévő szintet támogatja.

  • A Kerberos hitelesítési séma, amely csak egyeztetéssel választható ki, bármilyen támogatott megszemélyesítési szinttel használható.

A HTTP-átvitelről további információt az Átvitel kiválasztása című témakörben talál.

Lásd még