这是我需要涵盖的场景:
使用 Ws-Trust 或类似的东西信任 IdP 的 WebService 接收 SAML 令牌来验证用户,我们需要调用一些 SQL Server 或任何使用 windows 集成身份验证的服务,我们需要转发主叫用户身份相同。
有什么解决办法吗?我知道几年前 .NET 平台有一些 SAML2Kerberos 或类似的东西,但我认为它已被弃用......
SAML 断言到 Windows 身份(Kerberos 令牌?)转换
信息安全
身份
kerberos
山姆
adfs
2021-09-02 02:56:07
1个回答
问题是您需要将 SAML 身份转换为 Active Directory 提供的身份,而 Active Directory 不理解 SAML。这就是 C2WTS 服务发挥作用的地方。它没有被弃用,但不赞成使用,因为它允许模拟任何用户,假设您已授予服务帐户足够的权限,并且这些权限基本上为您提供了等效的 root 权限。
您可以使用该服务,这可能是首选选项,或者您可以构建自己的机制来调用 Windows 子系统以模拟用户。类似这样的东西:https : //stackoverflow.com/questions/559719/windows-impersonation-from-c-sharp。
其它你可能感兴趣的问题