Expliquer l'emprunt d'identité pour les utilisateurs non-techniques.Alors s'il vous plaît expliquer dans le contexte de ASP.NET. Est-à-dire le bien ou le mal? En faisons-nous dans le cas de l'Authentification basée sur les Formulaires?
Vous devriez vérifier Keith Brown description de l'usurpation d'identité. C'est vraiment un concept de Fenêtres.
Lorsque vous avez une application à l'aide de l'authentification par formulaires (FA) le processus IIS est en cours d'exécution sous les informations d'identification d'un utilisateur spécifique d'installation dans IIS.
Exemple: Si vous avez un utilisateur appelé Bob connecté à l'aide de FA et et IIS configuration à exécuter en tant que Service Réseau. Bob accède à une page qui fait un appel de service web à un autre ordinateur, l'ordinateur va voir l'IIS de l'utilisateur et pas Bob. Vous pouvez utiliser l'emprunt d'identité pour permettre à Bob pour accéder au service web comme un véritable utilisateur de Windows et pas de Service de Réseau.
Usurpation d'identité n'est pas mal, mais il peut être utilisé à mauvais escient. Vous avez vraiment besoin de comprendre l'impact sur l'ensemble de votre modèle de sécurité. C'est aussi quelque chose qui créent beaucoup de travail pour les développeurs de déboguer. C'est particulièrement le cas si vous n'avez pas les droits d'admin à la ressource (par exemple. service web) vous tentez d'accéder.
Le lien a expiré... J'ai remplacé le lien avec l'un va à l'internet archive page. Je vais essayer de contacter l'auteur directement pour voir si il peut obtenir ce retour en ligne.
D'exécution des applications Web via un serveur web. Le serveur web s'exécute en tant qu'utilisateur avec des autorisations différentes de vous-même. L'usurpation d'identité permet l'exécution de l'application que vous (ou tout autre utilisateur avec différents priveledges sur le cmoputer), comme si vous étiez connecté à l'ordinateur qui exécute elle-même.
Il fait rend les choses assez bonne. Il permet une autre façon de subvention ou de restreindre l'accès à des fichiers protégés sur l'ordinateur.
Et oui, vous pouvez l'appliquer à l'aide de l'Authentification par Formulaires (mais vous n'avez pas à).
ASP.NET les applications peuvent s'exécuter avec l'identité Windows (compte d'utilisateur) de l'utilisateur en faisant la demande. L'usurpation d'identité est couramment utilisé dans les applications basées sur Microsoft Internet Information Services (IIS) pour authentifier l'utilisateur.
ASP.NET l'usurpation d'identité est désactivé par défaut. Si l'emprunt d'identité est activé pour un ASP.NET l'application, l'application s'exécute dans le contexte de l'identité dont le jeton d'accès IIS passe à ASP.NET. Ce jeton peut être soit un utilisateur authentifié jeton comme un jeton pour connecté en tant qu'utilisateur de Windows, ou le jeton que IIS fournit pour les utilisateurs anonymes (en général, la IUSR_MACHINENAME identité).
Vous devriez vérifier Keith Brown description de l'usurpation d'identité. C'est vraiment un concept de Fenêtres.
Lorsque vous avez une application à l'aide de l'authentification par formulaires (FA) le processus IIS est en cours d'exécution sous les informations d'identification d'un utilisateur spécifique d'installation dans IIS.
Exemple: Si vous avez un utilisateur appelé Bob connecté à l'aide de FA et et IIS configuration à exécuter en tant que Service Réseau. Bob accède à une page qui fait un appel de service web à un autre ordinateur, l'ordinateur va voir l'IIS de l'utilisateur et pas Bob. Vous pouvez utiliser l'emprunt d'identité pour permettre à Bob pour accéder au service web comme un véritable utilisateur de Windows et pas de Service de Réseau.
Usurpation d'identité n'est pas mal, mais il peut être utilisé à mauvais escient. Vous avez vraiment besoin de comprendre l'impact sur l'ensemble de votre modèle de sécurité. C'est aussi quelque chose qui créent beaucoup de travail pour les développeurs de déboguer. C'est particulièrement le cas si vous n'avez pas les droits d'admin à la ressource (par exemple. service web) vous tentez d'accéder.
J'ai remplacé le lien avec l'un va à l'internet archive page. Je vais essayer de contacter l'auteur directement pour voir si il peut obtenir ce retour en ligne.
OriginalL'auteur Brian Lyttle
D'exécution des applications Web via un serveur web. Le serveur web s'exécute en tant qu'utilisateur avec des autorisations différentes de vous-même. L'usurpation d'identité permet l'exécution de l'application que vous (ou tout autre utilisateur avec différents priveledges sur le cmoputer), comme si vous étiez connecté à l'ordinateur qui exécute elle-même.
Il fait rend les choses assez bonne. Il permet une autre façon de subvention ou de restreindre l'accès à des fichiers protégés sur l'ordinateur.
Et oui, vous pouvez l'appliquer à l'aide de l'Authentification par Formulaires (mais vous n'avez pas à).
OriginalL'auteur Justin Niessner
ASP.NET les applications peuvent s'exécuter avec l'identité Windows (compte d'utilisateur) de l'utilisateur en faisant la demande. L'usurpation d'identité est couramment utilisé dans les applications basées sur Microsoft Internet Information Services (IIS) pour authentifier l'utilisateur.
ASP.NET l'usurpation d'identité est désactivé par défaut. Si l'emprunt d'identité est activé pour un ASP.NET l'application, l'application s'exécute dans le contexte de l'identité dont le jeton d'accès IIS passe à ASP.NET. Ce jeton peut être soit un utilisateur authentifié jeton comme un jeton pour connecté en tant qu'utilisateur de Windows, ou le jeton que IIS fournit pour les utilisateurs anonymes (en général, la IUSR_MACHINENAME identité).
OriginalL'auteur Kumar Manish-PMP