Bagikan melalui

Menggunakan Peniruan Identitas dengan Keamanan Transportasi

  • Artikel

Peniruan adalah kemampuan aplikasi server untuk mengambil identitas klien. Peniruan umum digunakan bagi layanan saat memvalidasi akses ke sumber daya. Aplikasi server berjalan menggunakan akun layanan, tetapi ketika server menerima koneksi klien, aplikasi tersebut meniru klien sehingga pemeriksaan akses dilakukan menggunakan kredensial klien. Keamanan transportasi adalah mekanisme baik untuk meneruskan kredensial dan mengamankan komunikasi menggunakan kredensial tersebut. Topik ini menjelaskan penggunaan keamanan transportasi di Windows Communication Foundation (WCF) dengan fitur peniruan. Untuk informasi selengkapnya tentang peniruan yang menggunakan keamanan pesan, lihat Delegasi dan Peniruan.

Lima Tingkat Peniruan

Keamanan transportasi menggunakan lima tingkat peniruan, seperti yang dijelaskan dalam tabel berikut.

Tingkat peniruan Deskripsi
Tidak Aplikasi server tidak mencoba untuk meniru klien.
Anonim Aplikasi server dapat melakukan pemeriksaan akses terhadap kredensial klien, tetapi tidak menerima informasi apa pun tentang identitas klien. Tingkat peniruan ini hanya berarti untuk komunikasi di komputer, seperti pipa yang dinamai. Menggunakan Anonymous dengan koneksi jarak jauh mendukung tingkat peniruan ke Identifikasi.
Identifikasi Aplikasi server mengetahui identitas klien dan dapat melakukan validasi akses terhadap kredensial klien, tetapi tidak dapat meniru klien. Identifikasi adalah tingkat peniruan default yang digunakan dengan kredensial SSPI di WCF kecuali penyedia token memberikan tingkat peniruan yang berbeda.
Meniru Aplikasi server dapat mengakses sumber daya di komputer server sebagai klien selain melakukan pemeriksaan akses. Aplikasi server tidak dapat mengakses sumber daya di komputer jarak jauh menggunakan identitas klien karena token yang ditiru tidak memiliki kredensial jaringan
Delegasikan Selain memiliki kemampuan yang sama seperti Impersonate, tingkat peniruan Delegasi juga memungkinkan aplikasi server mengakses sumber daya di komputer jarak jauh menggunakan identitas klien dan untuk meneruskan identitas ke aplikasi lain.

Penting Akun domain server harus ditandai sebagai tepercaya untuk delegasi di pengendali domain agar dapat menggunakan fitur tambahan ini. Tingkat peniruan ini tidak dapat digunakan dengan akun domain klien yang ditandai sebagai sensitif.

Tingkat yang paling umum digunakan dengan keamanan transportasi adalah Identify dan Impersonate. Tingkat None dan Anonymous tidak disarankan untuk penggunaan umum, dan banyak transportasi tidak mendukung penggunaan tingkat tersebut dengan autentikasi. Tingkat Delegate adalah fitur canggih yang harus digunakan dengan hati-hati. Hanya aplikasi server tepercaya yang harus diberi izin untuk mendelegasikan kredensial.

Menggunakan peniruan identitas di tingkat Impersonate atau Delegate mengharuskan aplikasi server memiliki hak istimewa SeImpersonatePrivilege. Aplikasi memiliki hak istimewa ini secara default jika berjalan pada akun di grup Administrator atau pada akun dengan SID Layanan (Layanan Jaringan, Layanan Lokal, atau Sistem Lokal). Peniruan tidak memerlukan autentikasi timbal balik dari klien dan server. Beberapa skema autentikasi yang mendukung peniruan, seperti NTLM, tidak dapat digunakan dengan autentikasi timbal balik.

Masalah Khusus Transportasi dengan Peniruan

Pilihan transportasi di WCF memengaruhi kemungkinan pilihan untuk peniruan. Bagian ini menjelaskan masalah yang memengaruhi HTTP standar dan transportasi pipa yang dinamai di WCF. Transportasi khusus memiliki batasan sendiri pada dukungan untuk peniruan.

Transportasi Pipa yang Dinamai

Item berikut digunakan dengan transportasi pipa yang dinamai:

  • Transportasi pipa yang dinamai dimaksudkan untuk digunakan hanya di komputer lokal. Transportasi pipa yang dinamai di WCF secara eksplisit melarang koneksi lintas komputer.

  • Pipa yang dinamai tidak dapat digunakan dengan tingkat peniruan Impersonate atau Delegate. Pipa yang dinamai tidak dapat memberlakukan jaminan pada komputer di tingkat peniruan ini.

Untuk informasi selengkapnya tentang pipa yang dinamai, lihat Memilih Transportasi.

Transportasi HTTP

Pengikatan yang menggunakan transportasi HTTP (WSHttpBinding dan BasicHttpBinding) mendukung beberapa skema autentikasi, seperti yang dijelaskan dalam Memahami Autentikasi HTTP. Tingkat peniruan yang didukung bergantung pada skema autentikasi. Item berikut digunakan dengan transportasi HTTP:

  • Skema autentikasi Anonymous mengabaikan peniruan.

  • Skema autentikasi Basic hanya mendukung tingkat Delegate. Semua tingkat peniruan yang lebih rendah ditingkatkan.

  • Skema autentikasi Digest hanya mendukung tingkat Impersonate dan Delegate.

  • Skema autentikasi NTLM, yang dapat dipilih baik secara langsung maupun melalui negosiasi, hanya mendukung tingkat Delegate di komputer lokal.

  • Skema autentikasi Kerberos, yang hanya dapat dipilih melalui negosiasi, dapat digunakan dengan tingkat peniruan yang didukung.

Untuk informasi selengkapnya tentang HTTP, lihat Memilih Transportasi.

Lihat juga