Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A megszemélyesítés a kiszolgálóalkalmazások azon képessége, hogy az ügyfél identitását átvegye. Gyakran előfordul, hogy a szolgáltatások megszemélyesítést használnak az erőforrásokhoz való hozzáférés ellenőrzésekor. A kiszolgálóalkalmazás szolgáltatásfiókkal fut, de amikor a kiszolgáló elfogad egy ügyfélkapcsolatot, megszemélyesíti az ügyfelet, hogy a hozzáférési ellenőrzések az ügyfél hitelesítő adataival legyenek végrehajtva. Az átviteli biztonság a hitelesítő adatok átadására és a hitelesítő adatok használatával történő kommunikáció biztonságossá tételére szolgáló mechanizmus. Ez a témakör a Windows Communication Foundation (WCF) átviteli biztonságának megszemélyesítési funkcióval való használatát ismerteti. További információ az üzenetbiztonságot használó megszemélyesítésről: Delegálás és megszemélyesítés.
Öt megszemélyesítési szint
A közlekedési biztonság öt megszemélyesítési szintet használ, az alábbi táblázatban leírtak szerint.
| Megszemélyesítés szintje | Leírás |
|---|---|
| Egyik sem | A kiszolgálóalkalmazás nem próbálja meg megszemélyesíteni az ügyfelet. |
| Névtelen | A kiszolgálóalkalmazás hozzáférés-ellenőrzéseket végezhet az ügyfél hitelesítő adatain, de nem kap információt az ügyfél identitásáról. Ez a megszemélyesítési szint csak a gépen belüli kommunikáció, például a nevesített csövek esetében értelmezhető. A távoli kapcsolaton keresztüli használat Anonymous felemeli a megszemélyesítés szintjét az Azonosítás szintre. |
| Azonosít | A kiszolgálóalkalmazás ismeri az ügyfél identitását, és hozzáférés-ellenőrzést végezhet az ügyfél hitelesítő adatain, de nem tudja megszemélyesíteni az ügyfelet. Az azonosítás az SSPI hitelesítő adataival használt alapértelmezett megszemélyesítési szint a WCF-ben, kivéve, ha a jogkivonat-szolgáltató más megszemélyesítési szintet biztosít. |
| Valakit megszemélyesíteni | A kiszolgálóalkalmazás a hozzáférési ellenőrzések végrehajtása mellett ügyfélként is hozzáférhet a kiszolgálógép erőforrásaihoz. A kiszolgálóalkalmazás nem tud hozzáférni az ügyfél identitását használó távoli gépek erőforrásaihoz, mert a megszemélyesített jogkivonat nem rendelkezik hálózati hitelesítő adatokkal |
| Képviselő | A delegálási megszemélyesítési szint amellett, hogy ugyanazokkal a képességekkel Impersonaterendelkezik, lehetővé teszi a kiszolgálóalkalmazás számára, hogy az ügyfél identitásával elérhesse a távoli gépek erőforrásait, és átadhassa az identitást más alkalmazásoknak.Fontos A kiszolgáló tartományi fiókját megbízhatóként kell megjelölni a tartományvezérlő delegálásához a további funkciók használatához. Ez a megszemélyesítési szint nem használható bizalmasként megjelölt ügyféltartomány-fiókokkal. |
A közlekedésbiztonságban leggyakrabban használt szintek a következők Identify : és Impersonate. Ezek a szintek NoneAnonymous nem ajánlottak a tipikus használathoz, és számos átvitel nem támogatja ezeket a szinteket hitelesítéssel. A Delegate szint egy hatékony funkció, amelyet körültekintően kell használni. Hitelesítő adatok delegálására csak megbízható kiszolgálóalkalmazások jogosultak.
A Impersonate vagy Delegate szinteken való megszemélyesítéshez a kiszolgálóalkalmazásnak rendelkeznie kell a SeImpersonatePrivilege jogosultsággal. Egy alkalmazás alapértelmezés szerint ilyen jogosultsággal rendelkezik, ha a Rendszergazda csoport egyik fiókjában vagy egy szolgáltatás SID-jével (hálózati szolgáltatás, helyi szolgáltatás vagy helyi rendszer) rendelkező fiókon fut. A megszemélyesítéshez nincs szükség az ügyfél és a kiszolgáló kölcsönös hitelesítésére. Egyes megszemélyesítést támogató hitelesítési sémák, például az NTLM nem használhatók kölcsönös hitelesítéssel.
Transport-Specific megszemélyesítéssel kapcsolatos problémák
A WCF-ben az átviteli mód kiválasztása befolyásolja a megszemélyesítés lehetőségeit. Ez a szakasz a WCF-ben a szabványos HTTP- és elnevezett csőátviteleket érintő problémákat ismerteti. Az egyéni átvitelek saját korlátozásokkal rendelkeznek a megszemélyesítés támogatásával kapcsolatban.
Elnevezett csőátvitel
A rendszer a következő elemeket használja a nevesített csőátvitelhez:
A nevesített csőátvitel csak a helyi gépen használható. A WCF nevesített csőátvitele kifejezetten letiltja a gépközi kapcsolatokat.
A megnevezett csövek nem használhatók a
Impersonatevagy aDelegatemegszemélyesítési szinttel. A megnevezett cső nem tudja érvényesíteni a gépi garanciát ezen megszemélyesítési szinteken.
A nevesített csövekről további információt a Szállítás kiválasztása című témakörben talál.
HTTP-átvitel
A HTTP-átvitelt (WSHttpBinding és BasicHttpBinding) használó kötések számos hitelesítési sémát támogatnak, a HTTP-hitelesítés ismertetése szerint. A támogatott megszemélyesítési szint a hitelesítési sémától függ. A HTTP-átvitelhez a következő elemek használhatók:
A
Anonymoushitelesítési séma figyelmen kívül hagyja a megszemélyesítést.A
Basichitelesítési séma csak aDelegateszintet támogatja. Minden meglévő alacsonyabb megszemélyesítési szint fel van emelve.A
Digesthitelesítési séma csak aImpersonateésDelegateszinteket támogatja.A
NTLMközvetlenül vagy egyeztetéssel kiválasztható hitelesítési séma csak aDelegatehelyi gépen lévő szintet támogatja.A Kerberos hitelesítési séma, amely csak egyeztetéssel választható ki, bármilyen támogatott megszemélyesítési szinttel használható.
A HTTP-átvitelről további információt az Átvitel kiválasztása című témakörben talál.